微慑信息网

开源虚拟平台 Cloud Foundry 修复身份验证越权漏洞

HackerNews.cc  11 日消息,开源虚拟平台 Cloud Foundry 研究人员发现一处漏洞( CVE-2017-8032 ),可影响用户帐户与身份验证服务器交互,允许黑客通过多个域管理员身份利用外部提供商映射升级权限。

Cloud Foundry ID 管理服务均使用了 OAuth2 认证协议。调查显示,这一漏洞主要影响 v264 之前的以下版本的 UAA 与 cf-release。

UAA:

○ UAA v2.xx 的所有版本
○ v3.6.13 之前的 3.6.x 版本
○ v3.9.15 之前的 3.9.x 版本
○ v3.20.0 之前的 3.20.x 版本
○ v4.4.0 之前的其他版本

UAA bosh 发行版(uaa-release):

○ v13.17 之前的 13.x 版本
○ v24.12 之前的 24.x 版本
○ 30.5 之前的 30.x 版本
○ v41 之前的其他版本

Cloud Foundry 发布安全公告强调,只有满足以下所有条件时,设备基础系统才会受到影响:

(1)用户正在 UAA 中使用多个区域
(2)用户给与管理员外部提供商(LDAP / SAML / OIDC)与相应组映射的管理权限
(3)用户启用 LDAP / SAML / OIDC 提供商与外部组映射

目前,虽然 Cloud Foundry 已修复漏洞,但安全专家还是建议用户将系统升级至 v264 或更高版本以及安装 3.xx 系列的独立 UAA 用户链接,避免黑客操控系统管理权限。

原作者:Pierluigi Paganini译者:青楚

from hackernews.cc.thanks for it.

本文标题:开源虚拟平台 Cloud Foundry 修复身份验证越权漏洞
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2017/0712_5257.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 开源虚拟平台 Cloud Foundry 修复身份验证越权漏洞
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们