xuejiazhi 2017-04-05
发布日期:2017-04-04
更新日期:2017-04-05
受影响系统:
描述:
BUGTRAQ ID: 97378
CVE(CAN) ID: CVE-2017-5649
Geode 是一个数据管理平台,提供实时的、一致的、贯穿整个云架构地访问数据关键型应用。
Apache Geode 1.1.0版本,设置security-manager属性,启用集群后,具有CLUSTER:READ权限(而非DATA:READ权限)的远程用户,利用此漏洞可访问Pulse内的data browser页,然后执行OQL查询,公开集群内存储的数据。
<*来源:Jinmei Liao
链接:[email protected]%3E" target="_blank">http://mail-archives.apache.org/mod_mbox/geode-user/201704.mbox/%3CCAEwge-E4y=EVfhwpfRwsbnBH_hBS3Q-BJS+1BX5omYGW4dnR1w@mail.gmail.com%3E
*>
建议:
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁1.1.1版本,修复了这个安全问题,请到厂商的主页下载:
http://geode.apache.org/