Foreman \'bookmarks_controller.rb\' 远程代码执行漏洞

当前位置：首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

发表日期：2014-12-10 17:39:55

BugTraq-ID:60833

CVE-ID:CVE-2013-2121

发布日期：2013-06-07

更新日期：2013-06-07

受影响系统：

Foreman Foreman <= 1.2.0-RC1

详细信息：

Foreman是可以自动化维护服务器生命周期的管理工具。 Foreman 1.2.0-RC2之前版本中，Bookmarks控制器的create方法存在eval注入漏洞，可以创建书签的远程用户通过控制器名称属性，利用此漏洞可执行任意代码。

来源：

Ramon de C Valle

测试方法：

警告以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！http://downloads.securityfocus.com/vulnerabilities/exploits/60833.rb

解决办法：

厂商补丁：

Foreman

-------

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://projects.theforeman.org/issues/2631

https://groups.google.com/forum/#%21topic/foreman-users/6WpO_3ugiXU

http://projects.theforeman.org/issues/2631

■服务概述