製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Katello における任意のユーザーとして CloudForms System Engine の Web インターフェイスに認証される脆弱性

タイトル	Katello における任意のユーザーとして CloudForms System Engine の Web インターフェイスに認証される脆弱性
概要	Katello のインストールスクリプトは、Application.config.secret_token 値を適切に生成しないため、それぞれの初期インストールにおいて同一のシークレットトークンを持つ原因となり、任意のユーザーとして CloudForms System Engine の Web インターフェイスに認証される脆弱性が存在します。
想定される影響	第三者により、デフォルトの secret_token を使用する Cookie を作成されることで、任意のユーザーとして CloudForms System Engine の Web インターフェイスに認証される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2012年8月25日0:00
登録日	2012年8月28日15:35
最終更新日	2012年8月28日15:35

CVSS2.0 : 警告
スコア	6.5
ベクター	AV:N/AC:L/Au:S/C:P/I:P/A:P

影響を受けるシステム

Katello Project

Katello 1.0 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-3503	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3503
National Vulnerability Database (NVD)
2	CVE-2012-3503	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-3503

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	名前	URL
GitHub
1	850745 - secret_token is not generated properly (CVE-2012-3503)	https://github.com/Katello/katello/pull/499
2	Merge pull request #499 from lzap/secret_token	https://github.com/Katello/katello/commit/7c256fef9d75029d0ffff58ff1dcda915056d3a3
Katello Project
3	Top Page	http://www.katello.org/
Red Hat Security Advisory
4	RHSA-2012:1186	http://rhn.redhat.com/errata/RHSA-2012-1186.html
5	RHSA-2012:1187	http://rhn.redhat.com/errata/RHSA-2012-1187.html

変更履歴

No	変更内容	変更日
0	[2012年08月28日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2012-3503

概要	The installation script in Katello 1.0 and earlier does not properly generate the Application.config.secret_token value, which causes each default installation to have the same secret token, and allows remote attackers to authenticate to the CloudForms System Engine web interface as an arbitrary user by creating a cookie using the default secret_token.
公表日	2012年8月25日19:29
登録日	2021年1月28日15:00
最終更新日	2024年11月21日10:41

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:theforeman:katello::::::::			1.0

構成2		以上	以下	より上	未満
cpe:2.3:o:redhat:enterprise_linux_server:6.0:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://rhn.redhat.com/errata/RHSA-2012-1186.html		Broken Link Third Party Advisory
2	http://rhn.redhat.com/errata/RHSA-2012-1186.html		Broken Link Third Party Advisory
3	http://rhn.redhat.com/errata/RHSA-2012-1187.html		Third Party Advisory
4	http://rhn.redhat.com/errata/RHSA-2012-1187.html		Third Party Advisory
5	http://secunia.com/advisories/50344		Broken Link
6	http://secunia.com/advisories/50344		Broken Link
7	http://www.securityfocus.com/bid/55140		Broken Link Third Party Advisory VDB Entry
8	http://www.securityfocus.com/bid/55140		Broken Link Third Party Advisory VDB Entry
9	https://github.com/Katello/katello/commit/7c256fef9d75029d0ffff58ff1dcda915056d3a3		Patch
10	https://github.com/Katello/katello/commit/7c256fef9d75029d0ffff58ff1dcda915056d3a3		Patch
11	https://github.com/Katello/katello/pull/499		Issue Tracking
12	https://github.com/Katello/katello/pull/499		Issue Tracking

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-798	ハードコードされた認証情報の使用	https://cwe.mitre.org/data/definitions/798.html