微慑信息网

开源虚拟平台 Cloud Foundry 修复身份验证越权漏洞

HackerNews.cc  11 日消息,开源虚拟平台 Cloud Foundry 研究人员发现一处漏洞( CVE-2017-8032 ),可影响用户帐户与身份验证服务器交互,允许黑客通过多个域管理员身份利用外部提供商映射升级权限。

Cloud Foundry ID 管理服务均使用了 OAuth2 认证协议。调查显示,这一漏洞主要影响 v264 之前的以下版本的 UAA 与 cf-release。

UAA:

○ UAA v2.xx 的所有版本
○ v3.6.13 之前的 3.6.x 版本
○ v3.9.15 之前的 3.9.x 版本
○ v3.20.0 之前的 3.20.x 版本
○ v4.4.0 之前的其他版本

UAA bosh 发行版(uaa-release):

○ v13.17 之前的 13.x 版本
○ v24.12 之前的 24.x 版本
○ 30.5 之前的 30.x 版本
○ v41 之前的其他版本

Cloud Foundry 发布安全公告强调,只有满足以下所有条件时,设备基础系统才会受到影响:

(1)用户正在 UAA 中使用多个区域
(2)用户给与管理员外部提供商(LDAP / SAML / OIDC)与相应组映射的管理权限
(3)用户启用 LDAP / SAML / OIDC 提供商与外部组映射

目前,虽然 Cloud Foundry 已修复漏洞,但安全专家还是建议用户将系统升级至 v264 或更高版本以及安装 3.xx 系列的独立 UAA 用户链接,避免黑客操控系统管理权限。

原作者:Pierluigi Paganini译者:青楚

from hackernews.cc.thanks for it.

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 开源虚拟平台 Cloud Foundry 修复身份验证越权漏洞

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册