CH azonosító
CH-14388Angol cím
Apache Thrift Go Client security vulnerabilityFelfedezés dátuma
2018.03.18.Súlyosság
MagasÉrintett rendszerek
Apache Software FoundationÉrintett verziók
Apache Software Foundation
Thrift 0.9.3 és régebbi verziók
Összefoglaló
Az Apache Thrift Go-ban lévő biztonsági rés lehetővé teheti egy távoli felhasználó számára, hogy tetszőleges kódot futtasson a célrendszeren.
Leírás
A sérülékenység a ft_go_generator.cc:format_go_output() függvényben található és a szoftver nem megfelelő elérési út kezelésből adódik. A felhasználó kihasználhatja ezt a biztonsági rést és a sikeres művelet lehetővé teheti a számára, hogy tetszőleges kódot futtasson a célrendszeren.
Megoldás
Telepítse a javítócsomagokatMegoldás
Az Apache kiadta a szoftverfrissítéseket az alábbi elérhetőségen:
https://patch-diff.githubusercontent.com/raw/apache/thrift/pull/1061.patch
Támadás típusa
Command InjectionHatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: issues.apache.org
Egyéb referencia: tools.cisco.com
CVE-2016-5397 - NVD CVE-2016-5397