漏洞信息详情

Bcfg2 ‘Trigger’插件远程命令注入漏洞

• CNNVD编号：CNNVD-201206-520
• 危害等级： 超危
  
• CVE编号： CVE-2012-3366
• 漏洞类型： 操作系统命令注入
• 发布时间： 2012-06-29
• 威胁类型： 远程
• 更新时间： 2012-06-29
• 厂        商： anl
• 漏洞来源： Bcfg2

漏洞简介

Bcfg2提供给系统管理员一个一致性的、可再生的、可核查的环境，并提供可视化的报告工具，以协助日常的行政工作。

Bcfg2 1.2.3之前的1.2.x版本中存在远程命令注入漏洞，该漏洞源于在‘Trigger’插件中对用户提供的的输入未经正确验证。攻击者可利用该漏洞在受影响应用程序上下文中注入和执行任意命令，且有助于完全操控系统。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://trac.mcs.anl.gov/projects/bcfg2/

参考网址

来源: github.com

链接:https://github.com/Bcfg2/bcfg2/commit/a524967e8d5c4c22e49cd619aed20c87a316c0be

来源: XF

名称: bcfg2-trigger-command-execution(76616)

链接:http://xforce.iss.net/xforce/xfdb/76616

来源: BID

名称: 54217

链接:http://www.securityfocus.com/bid/54217

来源: DEBIAN

名称: DSA-2503

链接:http://www.debian.org/security/2012/dsa-2503

来源: SECUNIA

名称: 49690

链接:http://secunia.com/advisories/49690

来源: SECUNIA

名称: 49629

链接:http://secunia.com/advisories/49629

来源: MLIST

名称: [bcfg-dev] 20120612 Major security flaw in Trigger plugin

链接:http://permalink.gmane.org/gmane.comp.sysutils.bcfg2.devel/4539

受影响实体

• Anl Bcfg2:1.2.0:Rc2  
• Anl Bcfg2:1.2.0  

补丁

• bcfg2-1.2.3