| Title | Katello における任意のユーザーとして CloudForms System Engine の Web インターフェイスに認証される脆弱性 |
|---|---|
| Summary | Katello のインストールスクリプトは、Application.config.secret_token 値を適切に生成しないため、それぞれの初期インストールにおいて同一のシークレットトークンを持つ原因となり、任意のユーザーとして CloudForms System Engine の Web インターフェイスに認証される脆弱性が存在します。 |
| Possible impacts | 第三者により、デフォルトの secret_token を使用する Cookie を作成されることで、任意のユーザーとして CloudForms System Engine の Web インターフェイスに認証される可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Aug. 25, 2012, midnight |
| Registration Date | Aug. 28, 2012, 3:35 p.m. |
| Last Update | Aug. 28, 2012, 3:35 p.m. |
| CVSS2.0 : 警告 | |
| Score | 6.5 |
|---|---|
| Vector | AV:N/AC:L/Au:S/C:P/I:P/A:P |
| Katello Project |
| Katello 1.0 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年08月28日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The installation script in Katello 1.0 and earlier does not properly generate the Application.config.secret_token value, which causes each default installation to have the same secret token, and allows remote attackers to authenticate to the CloudForms System Engine web interface as an arbitrary user by creating a cookie using the default secret_token. |
|---|---|
| Publication Date | Aug. 25, 2012, 7:29 p.m. |
| Registration Date | Jan. 28, 2021, 3 p.m. |
| Last Update | Nov. 21, 2024, 10:41 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:theforeman:katello:*:*:*:*:*:*:*:* | 1.0 | ||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:* | |||||