当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Foreman Smart-Proxy任意命令执行漏洞

     发表日期:2014-06-23 11:34:00

Foreman Smart-Proxy任意命令执行漏洞

CVE-ID:CVE-2014-0007

 

受影响系统:

Foreman Foreman < 1.5.1

Foreman Foreman < 1.4.5

详细信息:

 

Foreman是可以自动化维护服务器生命周期的管理工具。

 

 

 

Foreman 1.4.5之前版本、1.5.1之前版本中,Smart-Proxy允许远程攻击者通过tftp/fetch_boot_file的path参数内的shell元字符,利用此漏洞执行任意命令。

 

 

来源:

Lukas Zapletal

参考信息:

https://rhn.redhat.com/errata/RHSA-2014-0770.html

解决办法:

厂商补丁:

 

Foreman

-------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

 

 

 

https://github.com/theforeman/foreman

 

http://projects.theforeman.org/issues/6086