漏洞信息详情
Ansible Tower 身份验证绕过漏洞
- CNNVD编号:CNNVD-201501-313
- 危害等级: 中危
- CVE编号: CVE-2015-1482
- 漏洞类型: 信息泄露
- 发布时间: 2015-01-16
- 威胁类型: 远程
- 更新时间: 2015-02-05
- 厂 商: ansible
- 漏洞来源: Manuel Hofer
漏洞简介
Ansible是美国Ansible公司的一款计算机系统配置管理器,它可用于发布、管理和编排计算机系统。Ansible Tower(又名Ansible UI)是其中的一个提供了用户界面(UI)、仪表板和REST API的任务控制应用程序。
Ansible Tower 2.0.5之前版本中存在安全漏洞。远程攻击者可借助socket.io/1/ URI的websocket连接利用该漏洞绕过身份验证,获取敏感信息。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.ansible.com/tower
参考网址
来源:BUGTRAQ
链接:http://www.securityfocus.com/archive/1/archive/1/534464/100/0/threaded
来源:www.sec-consult.com
链接:https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20150113-1_Ansible-Tower_multiple-vulnerabilities_v10.txt
来源:FULLDISC
链接:http://seclists.org/fulldisclosure/2015/Jan/52
来源:EXPLOIT-DB
链接:http://www.exploit-db.com/exploits/35786
来源:packetstormsecurity.com
链接:http://packetstormsecurity.com/files/129944/Ansible-Tower-2.0.2-XSS-Privilege-Escalation-Authentication-Missing.HTML
来源: BID
链接:http://www.securityfocus.com/bid/72020
受影响实体
- Ansible Tower:2.0.4
补丁
- tower-cli-2.1.0
- tower-cli-2.1.0
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论