Apache Geode 信息泄露漏洞(CVE-2017-5649)

xuejiazhi 2017-04-05

Apache Geode 信息泄露漏洞(CVE-2017-5649)


发布日期:2017-04-04
更新日期:2017-04-05

受影响系统:

Apache Group Geode < 1.1.1

描述:


BUGTRAQ  ID: 97378
CVE(CAN) ID: CVE-2017-5649

Geode 是一个数据管理平台,提供实时的、一致的、贯穿整个云架构地访问数据关键型应用。

Apache Geode 1.1.0版本,设置security-manager属性,启用集群后,具有CLUSTER:READ权限(而非DATA:READ权限)的远程用户,利用此漏洞可访问Pulse内的data browser页,然后执行OQL查询,公开集群内存储的数据。

<*来源:Jinmei Liao
 
  链接:[email protected]%3E" target="_blank">http://mail-archives.apache.org/mod_mbox/geode-user/201704.mbox/%3CCAEwge-E4y=EVfhwpfRwsbnBH_hBS3Q-BJS+1BX5omYGW4dnR1w@mail.gmail.com%3E
*>

建议:


厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁1.1.1版本,修复了这个安全问题,请到厂商的主页下载:

http://geode.apache.org/