检测

FreeBSD:froxlor -- 数据库密码信息泄漏 (9ee72858-4159-11e5-93ad-002590263bf5)

critical Nessus 插件 ID 85369

语言:

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

[email protected] 报告:

由于 froxlor 版本 0.9.33.1 和更早版本中 /logs/ 文件夹的错误文件权限,未认证的远程攻击者能够通过 webaccess 获取数据库密码。/logs/sql-error.log 文件中可能存储 SQL 明文密码和用户名。此目录在默认 configuration/setup 下可公开访问。

请注意,froxlor 0.9.33.2 禁止以后在日志中记录密码,但不能追溯性删除已经记录的密码。Froxlor 首席开发人员 Michael Kaufmann 报告:

从该目录中删除所有 .log 文件应该有效,或者只使用 Github 中的 class.ConfigIO.php

解决方案

更新受影响的程序包。

另见

https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=202262

https://seclists.org/oss-sec/2015/q3/238

http://www.nessus.org/u?71339434

http://www.nessus.org/u?f3254528

插件详情

严重性: Critical

ID: 85369

文件名: freebsd_pkg_9ee72858415911e593ad002590263bf5.nasl

版本: 2.7

类型: local

发布时间: 2015/8/13

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS v3

风险因素: Critical

基本分数: 9.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:froxlor, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2015/8/13

漏洞发布日期: 2015/7/29

参考资料信息

CVE: CVE-2015-5959