NFS 服务器配置错误允许访问导出目录之外的文件 (CVE-2024-39916)
CVE编号
CVE-2024-39916利用情况
暂无补丁情况
N/A披露时间
2024-07-12漏洞描述
FOG是一个免费开源的克隆/成像/救援套件/库存管理系统。在安装程序生成的/etc/exports中的NFS配置存在一个安全问题,允许攻击者在默认安装时修改导出文件之外的文件。这些导出使用了no_subtree_check选项。no_subtree_check选项意味着如果客户端执行文件操作,服务器只会检查请求的文件是否在正确的文件系统上,而不会检查它是否在正确的目录中。这使得可以修改/images中的文件,访问同一文件系统上的其他文件,以及访问其他文件系统上的文件。此漏洞已在版本1.5.10.30中得到修复。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/FOGProject/fogproject/commit/2de209bc57a177a052b4a877f000c... | |
| https://github.com/FOGProject/fogproject/security/advisories/GHSA-3xjr-xf9v-hwjh |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 已更改
- 用户交互 无
- 可用性 无
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论