Vulnerabilità: CVE-2018-11787


Nella versione di Apache Karaf prima 3.0.9, 4.0.9, 4.1.1, quando la funzione webconsole è installato in Karaf, è disponibile a … / Sistema / console e richiede l’autenticazione per l’accesso. Una parte della console è a Gogo shell / console che permette di accedere alla console della riga di comando di Karaf tramite un browser Web, e quando navigato ad esso è disponibile presso … / Sistema / console / gogo. Cercando di andare direttamente a tale URL richiede l’autenticazione. E fascio opzionale che alcune applicazioni utilizzano è la Pax Web Extender Lavagna, è parte della funzione pax-guerra e forse altri. Quando viene installato, la console Gogo diventa disponibile a un altro URL … / gogo / e che l’URL non è protetto che dà accesso alla console Karaf agli utenti non autenticati. Una di mitigazione per il rilascio è quello di arrestare manualmente / uninstall Gogo plug-in bundle che viene installato con la funzione webconsole, anche se naturalmente questo rimuove la console dal … / applicazione di sistema / console, non solo dal punto finale non autenticato. Si potrebbe anche fermata / uninstall la Pax Web Extender Lavagna, ma altri componenti / applicazioni possono richiedere, e così la loro funzionalità sarebbe ridotto / compromessa.
http://karaf.apache.org/security/cve-2018-11787.txt
https://issues.apache.org/jira/browse/KARAF-4993
https://lists.apache.org/thread.html/[email protected]%3Cdev.karaf.apache.org%3E
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11787

E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi