漏洞信息详情
Phusion Passenger 安全漏洞
- CNNVD编号:CNNVD-201712-578 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2017-16355
- 漏洞类型: 信息泄露
- 发布时间: 2017-12-15
- 威胁类型: 本地
- 更新时间: 2019-04-28
- 厂 商: phusionpassenger
- 漏洞来源: Debian
-
漏洞简介
Phusion Passenger是荷兰Phusion公司的一个用于在Apache和Nginx网页服务器上部署Ruby on Rails项目的Apache模块。
Phusion Passenger 5.1.10版本中的agent/Core/SpawningKit/Spawner.h文件存在安全漏洞。攻击者可通过将REVISION文件从应用程序root文件夹符号链接到选择的文件利用该漏洞读取任意文件内容。
漏洞公告
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://blog.phusion.nl/2017/10/13/passenger-security-advisory-5-1-11/
参考网址
来源:CONFIRM
链接:https://github.com/phusion/passenger/commit/4043718264095cde6623c2cbe8c644541036d7bf
来源:BUGTRAQ
链接:https://seclists.org/bugtraq/2019/Mar/34
来源:DEBIAN
链接:https://www.debian.org/security/2019/dsa-4415
来源:CONFIRM
链接:https://blog.phusion.nl/2017/10/13/passenger-security-advisory-5-1-11/
来源:www.debian.org
链接:http://www.debian.org/security/2019/dsa-4415
来源:www.auscert.org.au
链接:https://www.auscert.org.au/bulletins/77690
来源:vigilance.fr
链接:https://vigilance.fr/vulnerability/Passenger-file-reading-via-REVISION-File-Symlink-28830
来源:packetstormsecurity.com
链接:https://packetstormsecurity.com/files/152203/Debian-Security-Advisory-4415-1.html
受影响实体
- Phusionpassenger Phusion_passenger:5.0.10<!--2000-1-1-->
补丁
- Phusion Passenger 安全漏洞的修复措施<!--2017-12-15-->
还没有评论,来说两句吧...