Множественные уязвимости в Cobbler

Дата публикации:
17.04.2012
Дата изменения:
23.04.2012
Всего просмотров:
770
Опасность:
Низкая
Наличие исправления:
Инстуркции по устранению
Количество уязвимостей:
3
CVSSv2 рейтинг:
(AV:N/AC:H/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:2.6/Temporal:1.9
(AV:N/AC:H/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:7.6/Temporal:5.6
(AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:6.8/Temporal:5
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Повышение привилегий
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Cobbler 2.x
Уязвимые версии:Cobbler 2.x

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов при выполнении некоторых действий. Удаленный пользователь может произвести CSRF нападение.

2. Уязвимость существует при загрузке YAML строк через интерфейс управления Puppet. Удаленный пользователь может выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за того, что приложение использует PYTHON_EGG_CACHE из небезопасной области. Удаленный пользователь может повысить свои привилегии.

URL производителя: http://cobbler.github.com/

Решение: Для устранения уязвимости установите исправление с GIT репозитория.

Ссылки: https://bugs.launchpad.net/ubuntu/
https://bugs.launchpad.net/ubuntu/oneiric/
https://fedorahosted.org/cobbler/ticket/688
Журнал изменений: 23.04.2012
Незначительные изменения.

или введите имя

CAPTCHA