FreeBSD:mcollective -- 证书验证问题 (ecea9e92-0be5-4931-88da-8772d044972a)
medium Nessus 插件 ID 76630
语言:
简介
远程 FreeBSD 主机缺少与安全相关的更新。描述
Melissa Stone 报告:MCollective aes_security 公钥插件不会正确针对 CA 验证证书。通过在争用/初始化窗口中利用此漏洞,具有本地访问权限的攻击者可对 MCollective 客户端与服务器的连接进行初始化,从而控制该服务器上运行的 mcollective 插件。此漏洞需要配置 collective 以使用 aes_security 插件。Puppet Enterprise 和开源式 MCollective 未配置为使用该插件,因此默认不易受影响。
解决方案
更新受影响的程序包。另见
https://groups.google.com/forum/#!topic/puppet-announce/cPykqUXMmK4
插件详情
严重性: Medium
ID: 76630
文件名: freebsd_pkg_ecea9e920be5493188da8772d044972a.nasl
版本: 1.5
类型: local
发布时间: 2014/7/22
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.5
CVSS v2
风险因素: Medium
基本分数: 4.4
矢量: CVSS2#AV:L/AC:M/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:freebsd:freebsd:mcollective, cpe:/o:freebsd:freebsd
必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
补丁发布日期: 2014/7/21
漏洞发布日期: 2014/7/9
参考资料信息
CVE: CVE-2014-3251