Összefoglaló
Az Apache Storm fejlesztői egy fontos frissítést adtak ki. Ennek telepítésével jogosulatlan távoli kódfuttatásra lehetőséget adó hibát lehet orvosolni.
Leírás
A hiba a felhasználói interfész (UI daemon) kapcsán merült fel. A biztonsági rés kihasználásakor a kártékony kód a célkeresztbe állított webszolgáltatás jogosultsági szintjén fut le.
A sérülékenység Kerberos authentikáció esetén megszemélyesítéses támadásokhoz vezethet.
Megoldás
A fejlesztők által kiadott frissítés (0.10.0-beta1) telepítése.
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)System access (Rendszer hozzáférés)
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.securitytracker.com
Egyéb referencia: isbk.hu
Gyártói referencia: storm.apache.org
CVE-2015-3188 - NVD CVE-2015-3188