当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

VMTurbo Operations Manager \'/cgi-bin/vmtadmin.cgi\'远程命令执行漏洞

     发表日期:2014-08-14 18:21:00

 

VMTurbo Operations Manager \'/cgi-bin/vmtadmin.cgi\'远程命令执行漏洞

BugTraq-ID:69225

CVE-ID:CVE-2014-5073

 

受影响系统:

vmturbo VMTurbo Operation Manager 4.6

vmturbo VMTurbo Operation Manager 4.5

详细信息:

 

VMTurbo Operations Manager可以简化复杂虚拟环境和云环境的管理工作,广泛促进虚拟化,采取云架构。

 

 

 

VMTurbo Operations Manager 4.6及更早版本的Web接口存在OS命令盲注漏洞,可被恶意利用控制受影响系统。此漏洞源于当"callType"设置为"DOWN"并且"actionType"设置为"GETBRAND", "GETINTEGRATE", "FULLBACKUP", "CFGBACKUP", "EXPORTBACKUP", "EXPERTDIAGS", "EXPORTDIAGS"时,没有正确过滤/cgi-bin/vmtadmin.cgi的"fileDate" GET参数输入,就用于执行命令。这可导致以"wwwrun"用户权限执行任意shell命令。

 

 

来源:

Emilio Pinna

参考信息:

http://secunia.com/secunia_research/2014-8/

 

解决办法:

厂商补丁:

 

vmturbo

-------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

 

 

 

http://vmturbo.com/product/operations-management-software/