Foreman Smart Proxy SSL证书验证安全绕过漏洞

CVE编号

CVE-2014-3691

利用情况

暂无

补丁情况

N/A

披露时间

2015-03-10
漏洞描述
Foreman是一套用于物理和虚拟服务器中的生命周期管理工具。该工具提供服务开通、配置管理以及报告状态等功能。

Foreman Smart Proxy存在SSL证书验证安全绕过漏洞,由于应用程序未能正确验证SSL证书。允许攻击者进行中间人攻击中间人攻击或冒充受信任的服务器。
解决建议
目前没有详细的解决方案提供:
http://www.securityfocus.com/bid/70320/solution
参考链接
http://projects.theforeman.org/issues/7822
http://rhn.redhat.com/errata/RHSA-2015-0287.html
http://rhn.redhat.com/errata/RHSA-2015-0288.html
https://github.com/theforeman/smart-proxy/pull/217
https://groups.google.com/forum/#%21topic/foreman-announce/jXC5ixybjqo
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 redhat openstack 4.0 -
运行在以下环境
应用 redhat openstack 5.0 -
运行在以下环境
应用 theforeman foreman * Up to
(including)
1.5.3
运行在以下环境
应用 theforeman foreman 1.6.0 -
运行在以下环境
应用 theforeman foreman 1.6.1 -
CVSS3评分
7.5
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    N/A
  • 用户交互
  • 可用性
    部分地
  • 保密性
    部分地
  • 完整性
    部分地
AV:N/AC:L/Au:N/C:P/I:P/A:P
CWE-ID 漏洞类型
阿里云安全产品覆盖情况