CH azonosító
CH-11946Angol cím
Red Hat CloudForms 3.1 Management Engine 5.3 vulnerabilityFelfedezés dátuma
2015.01.13.Súlyosság
KritikusÖsszefoglaló
A Red Hat CloudForms fejlesztői biztonsági réseket találtak a szoftverben.
Leírás
A Red Hat CloudForms 3.1 Management Engine 5.3 testreszabó sablonja az alapértelmezett root jelszót használja az újonnan készített virtuális képfájlokhoz. Ha nem adunk meg saját jelszót, rosszindulatú felhasználók jogosultságokat szerezhetnek távolról.
A Red Hat CloudForms 3.1 Management Engine 5.3 program támadható SQL befecskendezéssel. Egy hitelesített távoli felhasználó tetszőleges SQL parancsokat futtathat egy védtelen SQL szűrőnek küldött, speciálisan megformázott REST API kéréssel.
Megoldás
Telepítse a javítócsomagokatMegoldás
A https://access.redhat.com/articles/11258 oldalon található utasítások alapján a frissítések alkalmazása.
Támadás típusa
Privilege escalation (jogosultság kiterjesztés)SQL Injection
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2014-3692 - NVD CVE-2014-3692
CVE-2014-7814 - NVD CVE-2014-7814
Gyártói referencia: rhn.redhat.com
Gyártói referencia: access.redhat.com
Gyártói referencia: access.redhat.com