Red Hat Ceph 注入漏洞

CVE编号

CVE-2020-10753

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-06-27

漏洞描述

Red Hat Ceph是美国红帽（Red Hat）公司的一套Linux PB级分布式文件系统。该系统的主要目标是设计成基于POSIX（可移植操作系统接口）的没有单点故障的分布式文件系统，使数据能容错和无缝的复制。 Red Hat Ceph 3.x版本和4.x版本中的RadosGW存在注入漏洞。该漏洞源于用户输入构造命令、数据结构或记录的操作过程中，网络系统或产品缺乏对用户输入数据的正确验证，未过滤或未正确过滤掉其中的特殊元素，导致系统或产品产生解析或解释方式错误。

解决建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：
https://www.redhat.com/

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-06/msg00062.html
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-10753
https://lists.debian.org/debian-lts-announce/2021/08/msg00013.html
https://lists.fedoraproject.org/archives/list/[email protected]...
https://security.gentoo.org/glsa/202105-39
https://usn.ubuntu.com/4528-1/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	redhat	ceph_storage	3.0	-
	运行在以下环境
	应用	redhat	ceph_storage	4.0	-
	运行在以下环境
	应用	redhat	openstack	15.0	-
	运行在以下环境
	系统	alpine_3.13	ceph	*		Up to (excluding) 15.2.6-r0
	运行在以下环境
	系统	alpine_3.14	ceph	*		Up to (excluding) 15.2.6-r0
	运行在以下环境
	系统	alpine_3.15	ceph	*		Up to (excluding) 15.2.6-r0
	运行在以下环境
	系统	alpine_edge	ceph	*		Up to (excluding) 15.2.6-r0
	运行在以下环境
	系统	centos_8	ceph	*		Up to (excluding) 14.2.8-81.el8cp
	运行在以下环境
	系统	debian_10	ceph	*		Up to (excluding) 12.2.11+dfsg1-2.1
	运行在以下环境
	系统	debian_11	ceph	*		Up to (excluding) 14.2.9-1
	运行在以下环境
	系统	debian_9	ceph	*		Up to (excluding) 10.2.11-2+deb9u1
	运行在以下环境
	系统	debian_sid	ceph	*		Up to (excluding) 14.2.9-1
	运行在以下环境
	系统	fedora_32	ceph	*		Up to (excluding) 14.2.10-1.fc32
	运行在以下环境
	系统	opensuse_Leap_15.1	ceph	*		Up to (excluding) 14.2.9.970
	运行在以下环境
	系统	redhat_8	ceph	*		Up to (excluding) 14.2.8-81.el8cp
	运行在以下环境
	系统	suse_12_SP4	ceph	*		Up to (excluding) 12.2.13
	运行在以下环境
	系统	suse_12_SP5	ceph	*		Up to (excluding) 12.2.13
	运行在以下环境
	系统	ubuntu_16.04	ceph	*		Up to (excluding) 10.2.11-0ubuntu0.16.04.3
	运行在以下环境
	系统	ubuntu_18.04	ceph	*		Up to (excluding) 12.2.13-0ubuntu0.18.04.4
	运行在以下环境
	系统	ubuntu_20.04	ceph	*		Up to (excluding) 15.2.7-0ubuntu0.20.04.2
	运行在以下环境
	系统	ubuntu_21.04	ceph	*		Up to (excluding) 15.2.5-0ubuntu1
	运行在以下环境
	系统	unionos_20	ceph	*		Up to (excluding) 12.2.11+dfsg1.1-1+dde

攻击路径远程
攻击复杂度复杂
权限要求无需权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性无影响
服务器危害无影响
全网数量 100

CWE-ID 漏洞类型 CWE-113 HTTP头部中CRLF序列转义处理不恰当（HTTP响应分割） CWE-74 输出中的特殊元素转义处理不恰当（注入）

正文

Red Hat Ceph 注入漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Jazz Reporting Service-Rational-CLM安全绕过管理任务执行漏洞

IBM Jazz Reporting Service up to 5.0.2/6.0.0 Report Builder 跨站脚本攻击

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]