Crowbar Ohai插件任意命令执行漏洞

漏洞信息详情

Crowbar Ohai插件任意命令执行漏洞

• CNNVD编号：CNNVD-201208-571
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-3537
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2012-08-30
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2012-08-30
  
• 厂        商：
  
  dell
• 漏洞来源：

Crowbar中存在漏洞，可被恶意的本地用户利用获取权限提升。该漏洞源于Ohai插件在一个不安全的方式中使用临时文件。攻击者可利用该漏洞以root权限执行任意命令。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://github.com/SUSE-Cloud/barclamp-deployer/tree/

来源: github.com

链接:https://github.com/SUSE-Cloud/barclamp-deployer/commit/b6454268a067fc77ff5de82057b5b53b3cc38b87

来源: github.com

链接:https://github.com/SUSE-Cloud/barclamp-deployer/commit/5ea8d4ddaa4cb1ce834d36889f0fe7ac0d617bc8

来源: github.com

链接:https://github.com/dellcloudedge/barclamp-deployer/pull/57

来源: bugzilla.novell.com

链接:https://bugzilla.novell.com/show_bug.cgi?id=774967

来源: XF

名称: crowbar-privilege-escalation(78041)

链接:http://xforce.iss.net/xforce/xfdb/78041

来源: BID

名称: 55240

链接:http://www.securityfocus.com/bid/55240

来源: MLIST

名称: [oss-security] 20120827 Re: CVE request: crowbar ohai plugin: local privilege (root) escalation due to insecure tmp file handling

链接:http://www.openwall.com/lists/oss-security/2012/08/27/7

来源: MLIST

名称: [oss-security] 20120827 CVE request: crowbar ohai plugin: local privilege (root) escalation due to insecure tmp file handling

链接:http://www.openwall.com/lists/oss-security/2012/08/27/5

来源: SECUNIA

名称: 50442

链接:http://secunia.com/advisories/50442

来源: OSVDB

名称: 84955

链接:http://osvdb.org/84955