Vulnerabilità: CVE-2018-14649


Si è constatato che il pacchetto ceph-ISCI-cli come spedito da Red Hat Ceph bagagli 2 e 3 sta usando python-Werkzeug in modalità shell di debug. Questo viene fatto impostando debug = true nel file / usr / bin / RBD-bersaglio-API fornite dal pacchetto ceph-ISCI-cli. Questo consente agli aggressori non autorizzati ad accedere questa shell di debug e privilegi crescere. Una volta che un utente malintenzionato è stato eseguito correttamente questa shell di debug saranno in grado di eseguire comandi arbitrari remoto. Questi comandi verranno eseguiti con gli stessi privilegi di utente esegue l’applicazione che sta utilizzando pitone werkzeug con modalità shell di debug abilitato. In – Red Hat Ceph bagagli 2 e 3, Ceph-ISCI-cli pacchetto viene eseguito libreria python-werkzeug con autorizzazioni di root.
http://www.securityfocus.com/bid/105434
https://access.redhat.com/articles/3623521
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-14649
https://github.com/ceph/ceph-iscsi-cli/issues/120
https://github.com/ceph/ceph-iscsi-cli/pull/121/commits/c3812075e30c76a800a961e7291087d357403f6b
https://access.redhat.com/errata/RHSA-2018:2837
https://access.redhat.com/errata/RHSA-2018:2838
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14649

E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi