低危 Cherokee身份验证绕过漏洞

CVE编号

CVE-2014-4668

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-07-02
漏洞描述
Cherokee是一款HTTPD服务程序。

Cherokee存在身份验证绕过漏洞,由于Cherokee_validator_ldap_check 函数在LDAP使用时未能正确地考虑未经身份验证的绑定语义,允许远程攻击者通过一个空密码通过身份验证。
解决建议
请安装厂商已发布的最新版本或补丁:
http://openwall.com/lists/oss-security/2014/06/28/7
参考链接
http://advisories.mageia.org/MGASA-2015-0181.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-April/155776.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-April/156162.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-April/156190.html
http://openwall.com/lists/oss-security/2014/06/28/3
http://openwall.com/lists/oss-security/2014/06/28/7
http://www.mandriva.com/security/advisories?name=MDVSA-2015:225
http://www.securityfocus.com/bid/68249
https://github.com/cherokee/webserver/commit/fbda667221c51f0aa476a02366e0cf66cb012f88
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 cherokee-project cherokee * Up to
(including)
1.2.103
运行在以下环境
应用 cherokee-project cherokee 1.2.101 -
运行在以下环境
应用 cherokee-project cherokee 1.2.102 -
运行在以下环境
应用 cherokee-project cherokee 1.2.2 -
运行在以下环境
应用 cherokee-project cherokee 1.2.98 -
运行在以下环境
应用 cherokee-project cherokee 1.2.99 -
运行在以下环境
系统 fedoraproject fedora 20 -
运行在以下环境
系统 fedoraproject fedora 21 -
运行在以下环境
系统 fedoraproject fedora 22 -
运行在以下环境
系统 fedora_21 cherokee-debuginfo * Up to
(excluding)
1.2.103-6.fc21
运行在以下环境
系统 fedora_22 cherokee-debuginfo * Up to
(excluding)
1.2.103-6.fc22
运行在以下环境
系统 fedora_EPEL_5 cherokee-debuginfo * Up to
(excluding)
1.2.103-6.el5
运行在以下环境
系统 fedora_EPEL_6 cherokee-debuginfo * Up to
(excluding)
1.2.103-6.el6
运行在以下环境
系统 mageia_project mageia 4 -
阿里云评分
3.5
  • 攻击路径
    远程
  • 攻击复杂度
    复杂
  • 权限要求
    无需权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    传输被破坏
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-287 认证机制不恰当
阿里云安全产品覆盖情况