发布日期：2020-08-25
更新日期：2020-09-02

受影响系统：

Octopus Deploy Octopus Deploy 3.4

描述：

---

CVE(CAN) ID: CVE-2020-16197

Octopus Deploy是澳大利亚Octopus Deploy公司的一款用于.NET、Java等应用程序开发部署的自动化工具。
Octopus Deploy 3.4 版本存在证书验证漏洞。该漏洞源于程序允许部署目标范围之外的账户或证书对部署目标进行配置。经过授权的攻击者可以利用该漏洞越权使用证书或通过将证书与范围验证失败的某些资源相关联来获取证书元数据。

<**>

建议：

---

厂商补丁：

Octopus Deploy
--------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/OctopusDeploy/Issues/issues/6531

浏览次数：943
严重程度：0（网友投票）