Apache VCL多个输入验证漏洞
发布日期:2013-05-06
更新日期:2013-05-07
受影响系统:
Apache Group VCL 2.3.1
Apache Group VCL 2.3
Apache Group VCL 2.2.1
Apache Group VCL 2.2
Apache Group VCL 2.1
Apache Group VCL
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 59670
CVE(CAN) ID: CVE-2013-0267
Apache VCL是模块化云计算平台。
Apache VCL的web GUI “Privileges”部分和XMLRPC API没有正确验证输入数据,具有较低管理权限的恶意用户可控制Web GUI提交的数据,也可以提交不正常的数据到API,获取更多的管理权限。在2.3.1版本引入的API函数中存在漏洞。这些API函数也可用于执行拒绝服务攻击及XSS攻击。
<*来源:Josh Thompson
链接:http://www.securityfocus.com/archive/1/526544
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://vcl.apache.org/