低危 Condor格式串漏洞（CNVD-2012-0494）

CVE编号

CVE-2011-4930

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-02-11

漏洞描述

Condor是一款用于密集工作计算工作量的管理系统，提供作业队列机制，调度策略，优先计划，资源监测和管理。远程Condor用户在Condor提交作业中请求XML消息日志格式，并且用户尝试通过condor_hold工具向用户日志文件写特制消息，可导致condor_schedd守护程序崩溃。

解决建议

Condor 7.6.5已经修复此漏洞，建议用户下载使用：http://www.cs.wisc.edu/condor/

参考链接
http://research.cs.wisc.edu/htcondor/security/vulnerabilities/CONDOR-2012-0001.html
http://rhn.redhat.com/errata/RHSA-2012-0099.html
http://rhn.redhat.com/errata/RHSA-2012-0100.html
https://bugzilla.redhat.com/show_bug.cgi?id=759548
https://htcondor-git.cs.wisc.edu/?p=condor.git%3Ba=commitdiff%3Bh=5e5571d1a43...
https://htcondor-wiki.cs.wisc.edu/index.cgi/chngview?cn=28264
https://htcondor-wiki.cs.wisc.edu/index.cgi/chngview?cn=28429
https://htcondor-wiki.cs.wisc.edu/index.cgi/tktview?tn=2660

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	condor_project	condor	7.2.0	-
	运行在以下环境
	应用	condor_project	condor	7.2.1	-
	运行在以下环境
	应用	condor_project	condor	7.2.2	-
	运行在以下环境
	应用	condor_project	condor	7.2.3	-
	运行在以下环境
	应用	condor_project	condor	7.2.4	-
	运行在以下环境
	应用	condor_project	condor	7.2.5	-
	运行在以下环境
	应用	condor_project	condor	7.3.0	-
	运行在以下环境
	应用	condor_project	condor	7.3.1	-
	运行在以下环境
	应用	condor_project	condor	7.3.2	-
	运行在以下环境
	应用	condor_project	condor	7.4.0	-
	运行在以下环境
	应用	condor_project	condor	7.4.1	-
	运行在以下环境
	应用	condor_project	condor	7.4.2	-
	运行在以下环境
	应用	condor_project	condor	7.5.4	-
	运行在以下环境
	应用	condor_project	condor	7.6.0	-
	运行在以下环境
	应用	condor_project	condor	7.6.1	-
	运行在以下环境
	应用	condor_project	condor	7.6.2	-
	运行在以下环境
	应用	condor_project	condor	7.6.3	-
	运行在以下环境
	应用	condor_project	condor	7.6.4	-
	运行在以下环境
	应用	redhat	enterprise_mrg	1.3	-
	运行在以下环境
	应用	redhat	enterprise_mrg	2.0	-
	运行在以下环境
	系统	debian_10	condor	*		Up to (excluding) 8.6.8~dfsg.1-2+deb10u1
	运行在以下环境
	系统	debian_sid	condor	*		Up to (excluding) 8.6.8~dfsg.1-2

阿里云评分 3.8

• 攻击路径 本地
• 攻击复杂度 困难
• 权限要求 管控权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-134	使用外部控制的格式字符串

Exp相关链接

- avd.aliyun.com