controller.rb身份验证绕过漏洞

发布日期:2012-12-05
更新日期:2012-12-08

受影响系统:
RedHat CloudForms
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 56819
CVE(CAN) ID: CVE-2012-5603

Red Hat CloudForms是本地混合云基础设施即服务(IaaS)产品,可创建和管理私有和公共云。

Red Hat CloudForms Katello在处理某些请求时,没有正确检查用户权限,通过身份验证的远程攻击者如果知道目标系统的UUID,可利用此漏洞下载用户证书或更改其他用户系统的设置。

此问题已经在下列版本内解决:
CloudForms for RHEL 6
CloudForms Tools for RHEL 5

<*来源:Lukas Zapletal
 
  链接:https://access.redhat.com/security/cve/CVE-2012-5603
        https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-5603
       
        https://www.redhat.com/support/errata/RHSA-2012-1543.html
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2012:1543-01)以及相应补丁:

RHSA-2012:1543-01:Important: CloudForms System Engine 1.1 update

链接:https://www.redhat.com/support/errata/RHSA-2012-1543.html

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wydzfx.html