漏洞信息详情
Atlassian Crowd 安全漏洞
- CNNVD编号:CNNVD-201610-700 <!--
- 危害等级: 高危-->
- 危害等级: 高危
- CVE编号: CVE-2016-6496
- 漏洞类型: 输入验证
- 发布时间: 2016-10-25
- 威胁类型: 远程
- 更新时间: 2016-12-12
- 厂 商: atlassian
- 漏洞来源: Alvaro Munoz and A...
-
漏洞简介
Atlassian Crowd是澳大利亚Atlassian公司的一套基于Web的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。
Atlassian Crowd 2.9.5之前的2.9.x版本和2.8.8之前的版本中的LDAP目录连接器存在安全漏洞。远程攻击者可借助带有特制序列化Java对象的LDAP利用该漏洞执行任意代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://jira.atlassian.com/browse/CWD-4790
参考网址
来源:confluence.atlassian.com
链接:https://confluence.atlassian.com/crowd/crowd-security-advisory-2016-10-19-856697283.html
来源:www.blackhat.com
链接:https://www.blackhat.com/docs/us-16/materials/us-16-Munoz-A-Journey-From-JNDI-LDAP-Manipulation-To-RCE-wp.pdf
来源:jira.atlassian.com
链接:https://jira.atlassian.com/browse/CWD-4790
来源:BUGTRAQ
链接:http://www.securityfocus.com/archive/1/archive/1/539655/100/0/threaded
来源:BID
链接:http://www.securityfocus.com/bid/93826
受影响实体
- Atlassian Crowd:2.9.0<!--2000-1-1-->
- Atlassian Crowd:2.9.1<!--2000-1-1-->
- Atlassian Crowd:2.8.4<!--2000-1-1-->
补丁
- Atlassian Crowd 安全漏洞的修复措施<!--2016-10-25-->
还没有评论,来说两句吧...