发布日期：2011-10-01
更新日期：2011-10-29

受影响系统：

opscode chef 0.9.16
opscode chef 0.10.0

描述：

---

CVE(CAN) ID: CVE-2011-5098

Chef是系统集成框架。

Chef的Chef chef-server-api/app/controllers/clients.rb没有对新建管理员账户要求管理员权限，可允许远程经过身份验证的攻击者创建任意管理员账户。

<*来源：Bryan McLellan
  
  链接：http://tickets.opscode.com/browse/CHEF-2436?page=com.atlassian.jira.plugin.system.issuetabpanels:all-tabpanel
        http://www.osvdb.org/show/osvdb/84545
*>

建议：

---

厂商补丁：

opscode
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.opscode.com/chef/

浏览次数：1693
严重程度：0（网友投票）