漏洞信息详情

Varnish ‘access.log’不安全文件权限漏洞

• CNNVD编号：CNNVD-201302-549
• 危害等级： 中危
  
• CVE编号： CVE-2013-0345
• 漏洞类型： 权限许可和访问控制问题
• 发布时间： 2013-02-26
• 威胁类型： 本地
• 更新时间： 2022-06-22
• 厂        商： varnish-cache
• 漏洞来源： Agostino Sarubbo

漏洞简介

Varnish（又名Varnish Cache）是丹麦软件开发者Poul-Henning Kamp所研发的一款高性能、开源的反向代理服务器和缓存服务器。该服务器通过采用Visual Page Cache技术，可实现所有缓存的数据直接从内存读取，从而提高访问速度。

Varnish 3.0.3版本中存在安全漏洞，该漏洞源于程序对/var/log/varnish/目录和日志文件使用全局可读权限。本地攻击者可通过读取文件利用该漏洞获取敏感信息。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://www.varnish-cache.org/

参考网址

来源:BID

链接:https://www.securityfocus.com/bid/58125

来源:OSVDB

链接:http://www.osvdb.org/90586

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2013/02/23/4

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2013/02/22/14

受影响实体

• Varnish-Cache Varnish:3.0.3  

补丁

• varnish-3.0.4