漏洞信息详情
Node.js tomato模块授权问题漏洞
- CNNVD编号:CNNVD-201405-300
- 危害等级: 中危
- CVE编号: CVE-2013-7379
- 漏洞类型: 授权问题
- 发布时间: 2014-05-19
- 威胁类型: 远程
- 更新时间: 2014-05-19
- 厂 商: ucdok
- 漏洞来源:
漏洞简介
Joyent Node.js是美国Joyent公司的一套建立在Google V8 Javascript引擎之上的网络应用平台。tomato是一个Node.js Web框架。
Joyent Node.js tomato模块0.0.5及之前版本的admin API中存在安全漏洞,该漏洞源于当程序将访问密钥设置字符串时,没有正确检查访问密钥。远程攻击者可借助特制的字符串利用该漏洞绕过身份验证。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://nodesecurity.io/advisories/Tomato_API_Admin_Auth_Weakness
参考网址
来源:MLIST
名称:[oss-security] 20140514 Re: CVE request: various Nodejs module vulnerabilities
链接:http://www.openwall.com/lists/oss-security/2014/05/15/2
来源:nodesecurity.io
链接:https://nodesecurity.io/advisories/Tomato_API_Admin_Auth_Weakness
来源:MLIST
名称:[oss-security] 20140513 CVE request: various Nodejs module vulnerabilities
链接:http://www.openwall.com/lists/oss-security/2014/05/13/1
来源:github.com
链接:https://github.com/leizongmin/tomato/commit/9e427d524e04a905312a3294c85e939ed7d57b8c
受影响实体
- Ucdok Tomato:0.0.5:~~~Node.js~~
补丁
- tomato-0.0.6
- tomato-0.0.6
评论