其他
开源身份管理系统Free IPA中的漏洞可导致XXE攻击
编译:代码卫士
红帽指出,“解析XML文档时访问外部实体可导致XML外部实体攻击。该漏洞可导致远程攻击者通过发送特别构造的HTTP请求检索任意文件的内容。”
该漏洞的严重性评分为7.5分(高危),是由PT Swarm 公司的研究员 Egor Dimintrenko 发现的。
PT Swarm 评论称,“在某些情况下,它可导致攻击者读取Free IPA配置中的目录管理器密码并完全控制该基础设施。”
该漏洞影响红帽企业 Linux 6-9和红帽 Certificate System 9 和10。
红帽已修复除了不在受影响范围内的 Linux 6的所有版本中的该漏洞。目前不存在已知的缓解措施,红帽督促用户尽快更新。
在线阅读版:《2021中国软件供应链安全分析报告》全文
谷歌提高Linux内核漏洞奖励金,最高133337美元
微软 Azure FabricScape 漏洞可被用于劫持 Linux 集群
开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞
Juniper Networks修复200多个第三方组件漏洞
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center
https://portswigger.net/daily-swig/vulnerability-in-open-source-identity-management-system-free-ipa-could-lead-to-xxe-attacks
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。