阿里云漏洞库

漏洞描述

Pivotal Cloud Foundry（PCF）是美国Pivotal Software公司的一套开源的平台即服务（PaaS）云计算平台，它提供容器调度、持续交付和自动化服务部署等功能。PCF Elastic Runtime是其中的一个运行环境。PCF Ops Manager是其中的一个用于部署、在线升级、配置的管理工具。

多款Pivotal产品中的OAuth authorization实现过程存在开放重定向漏洞，该漏洞源于程序未能正确处理redirect_uri子域。远程攻击者可借助修改的子域利用该漏洞获取隐式授权令牌。

解决建议

用户可参考如下厂商提供的安全补丁以修复该漏洞：
https://pivotal.io/security/cve-2016-6636

参考链接
http://www.securityfocus.com/bid/93246
https://pivotal.io/security/cve-2016-6636

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	pivotal_software	cloud_foundry	*		Up to (including) 241
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.0	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.1	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.10	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.11	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.12	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.13	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.14	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.15	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.17	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.18	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.19	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.2	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.20	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.21	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.22	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.23	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.25	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.26	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.27	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.28	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.29	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.3	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.30	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.31	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.32	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.33	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.34	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.35	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.36	-
	运行在以下环境
	应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.37	-
	运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.38	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.39	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.4	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.5	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.6	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.7	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.8	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.6.9	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.0	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.1	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.10	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.11	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.12	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.13	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.14	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.15	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.16	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.17	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.18	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.19	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.2	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.20	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.3	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.4	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.5	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.6	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.7	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.8	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.7.9	-
运行在以下环境
应用	pivotal_software	cloud_foundry_elastic_runtime	1.8.0	-
运行在以下环境
应用	pivotal_software	cloud_foundry_ops_manager	1.7.0	-
运行在以下环境
应用	pivotal_software	cloud_foundry_ops_manager	1.7.1	-
运行在以下环境
应用	pivotal_software	cloud_foundry_ops_manager	1.7.10	-
运行在以下环境
应用	pivotal_software	cloud_foundry_ops_manager	1.7.11	-
运行在以下环境
应用	pivotal_software	cloud_foundry_ops_manager	1.7.12	-
运行在以下环境
应用	pivotal_software	cloud_foundry_ops_manager	1.7.2	-
运行在以下环境
应用	pivotal_software	cloud_foundry_ops_manager	1.7.3	-
运行在以下环境
应用	pivotal_software	cloud_foundry_ops_manager	1.7.4	-
运行在以下环境
应用	pivotal_software	cloud_foundry_ops_manager	1.7.5	-
运行在以下环境
应用	pivotal_software	cloud_foundry_ops_manager	1.7.6	-
运行在以下环境
应用	pivotal_software	cloud_foundry_ops_manager	1.7.7	-
运行在以下环境
应用	pivotal_software	cloud_foundry_ops_manager	1.7.8	-
运行在以下环境
应用	pivotal_software	cloud_foundry_ops_manager	1.7.9	-
运行在以下环境
应用	pivotal_software	cloud_foundry_ops_manager	1.8.0	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	2.3.0	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	2.3.1	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	2.4.0	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	2.5.1	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	2.6.1	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	2.7.0.2	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	2.7.0.3	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	2.7.1	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	2.7.2	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	2.7.3	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	2.7.4.6	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	3.0.0	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	3.0.1	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	3.1.0	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	3.2.0	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	3.2.1	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	3.3.0	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	3.3.0.1	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	3.4.0	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	3.4.1	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa	3.4.2	-
运行在以下环境
应用	pivotal_software	cloud_foundry_uaa_bosh	*		Up to (including) 12.3

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

未更改
用户交互

无
可用性

无
保密性

低
完整性

无

CWE-ID	漏洞类型
CWE-601	指向未可信站点的URL重定向（开放重定向）

多款Pivotal产品开放重定向漏洞

漏洞描述

解决建议

参考链接

受影响软件情况