漏洞信息详情
Fail2ban 任意日志内容注入漏洞
- CNNVD编号:CNNVD-201212-244
- 危害等级: 中危
- CVE编号: CVE-2012-5642
- 漏洞类型: 资料不足
- 发布时间: 2012-12-19
- 威胁类型: 远程
- 更新时间: 2013-01-05
- 厂 商: fail2ban
- 漏洞来源: NBS System securit...
漏洞简介
Fail2ban 0.8.8之前版本中的server/action.py中存在漏洞,该漏洞源于没有正确处理匹配标签的内容。通过在此内容中的未明符号,远程攻击者利用该漏洞在自定义操作文件中触发不安全的行为。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.fail2ban.org/wiki/index.php/Main_Page
参考网址
来源: github.com
链接:https://github.com/fail2ban/fail2ban/commit/83109bc
来源: raw.github.com
链接:https://raw.github.com/fail2ban/fail2ban/master/ChangeLog
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=887914
来源: bugs.gentoo.org
链接:https://bugs.gentoo.org/show_bug.cgi?id=447572
来源: MLIST
名称: [oss-security] 20121217 Re: CVE request: fail2ban 0.8.8 fixes an input variable quoting flaw on <matches> content
链接:http://www.openwall.com/lists/oss-security/2012/12/17/2
来源: MLIST
名称: [fail2ban-users] 20121206 0.8.8 release
链接:http://sourceforge.net/mailarchive/message.php?msg_id=30193056
来源:SECUNIA
名称:51553
链接:http://secunia.com/advisories/51553
来源: BID
名称: 56963
链接:http://www.securityfocus.com/bid/56963
受影响实体
- Fail2ban Fail2ban:0.1.0
- Fail2ban Fail2ban:0.1.1
- Fail2ban Fail2ban:0.1.2
- Fail2ban Fail2ban:0.3.0
- Fail2ban Fail2ban:0.3.1
补丁
- fail2ban-0.8.8
评论