HackerNews.cc 11 日消息,开源虚拟平台 Cloud Foundry 研究人员发现一处漏洞( CVE-2017-8032 ),可影响用户帐户与身份验证服务器交互,允许黑客通过多个域管理员身份利用外部提供商映射升级权限。
Cloud Foundry ID 管理服务均使用了 OAuth2 认证协议。调查显示,这一漏洞主要影响 v264 之前的以下版本的 UAA 与 cf-release。
UAA:
○ UAA v2.xx 的所有版本
○ v3.6.13 之前的 3.6.x 版本
○ v3.9.15 之前的 3.9.x 版本
○ v3.20.0 之前的 3.20.x 版本
○ v4.4.0 之前的其他版本
UAA bosh 发行版(uaa-release):
○ v13.17 之前的 13.x 版本
○ v24.12 之前的 24.x 版本
○ 30.5 之前的 30.x 版本
○ v41 之前的其他版本
Cloud Foundry 发布安全公告强调,只有满足以下所有条件时,设备基础系统才会受到影响:
(1)用户正在 UAA 中使用多个区域
(2)用户给与管理员外部提供商(LDAP / SAML / OIDC)与相应组映射的管理权限
(3)用户启用 LDAP / SAML / OIDC 提供商与外部组映射
目前,虽然 Cloud Foundry 已修复漏洞,但安全专家还是建议用户将系统升级至 v264 或更高版本以及安装 3.xx 系列的独立 UAA 用户链接,避免黑客操控系统管理权限。
原作者:Pierluigi Paganini,译者:青楚
from hackernews.cc.thanks for it.