安全研究
安全漏洞
Heketi 任意命令执行漏洞(CVE-2019-3899)
发布日期:2019-06-10
更新日期:2019-06-11
受影响系统:RedHat penShift Container Platform 3.11
RedHat Gluster Storage 3.0
Heketi Project Heketi
描述:
BUGTRAQ ID:
108531
CVE(CAN) ID:
CVE-2019-3899
Heketi是一个提供RESTful API管理GlusterFS卷的框架,便于管理员对GlusterFS进行操作:
可以用于管理GlusterFS卷的生命周期;
能够在OpenStack,Kubernetes,Openshift等云平台上实现动态存储资源供应(动态在GlusterFS集群内选择bricks构建volume);
支持GlusterFS多集群管理。
结果发现,Heketi的默认配置不需要任何可能使管理接口暴露于滥用的认证。这仅仅影响了Openshift Container Platform 3.11附带的heketi。
<*来源:Daniel Moessner (Red Hat)
链接:
https://access.redhat.com/security/cve/cve-2019-3899
*>
建议:
厂商补丁:
RedHat
------
RedHat已经为此发布了一个安全公告(CVE-2019-3899)以及相应补丁:
CVE-2019-3899:heketi can be installed using insecure defaults
链接:
https://access.redhat.com/security/cve/cve-2019-3899
补丁下载:
浏览次数:1480
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
