当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0134270

漏洞标题:Ucloud某内部邮箱密码泄漏/部分运维脚本泄漏/内部数据库配置信息泄漏

相关厂商:UCloud

漏洞作者: prolog

提交时间:2015-08-16 10:08

修复时间:2015-10-03 19:26

公开时间:2015-10-03 19:26

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-16: 细节已通知厂商并且等待厂商处理中
2015-08-19: 厂商已经确认,细节仅向厂商公开
2015-08-29: 细节向核心白帽子及相关领域专家公开
2015-09-08: 细节向普通白帽子公开
2015-09-18: 细节向实习白帽子公开
2015-10-03: 细节向公众公开

简要描述:

Ucloud某内部邮箱密码泄漏/部分运维脚本泄漏/内部数据库配置信息泄漏

详细说明:

https://github.com/gaoxw126/ucdev

泄漏太多
1.邮箱泄漏----要用客户端验证,不然会提示异常登录,需要改密码
https://github.com/gaoxw126/ucdev/blob/e36e29e40af21f34408d05306e29768874c025a3/umonitor2/script/deploy/redis-rotate/utils/sender.py
smtpserver = 'smtp.qiye.163.com'
26
27 sender = 'xiaoding@ucloud.cn'
28 passwd = 'melody&cc0516'

asdsah.PNG


2.大量内部数据库密码泄漏
https://github.com/gaoxw126/ucdev/search?utf8=%E2%9C%93&q=mysqldb&type=Code
https://github.com/gaoxw126/ucdev/blob/e36e29e40af21f34408d05306e29768874c025a3/chkaccount/check_mul_delete_org/check/get_account_all_step0.sh
mysql -uucloud -pucloud.cn -h172.16.1.4 --port=3206 umonitor2chkaccount -e "select distinct account_id from t_group_account_map order by account_id" > log.account.all
https://github.com/gaoxw126/ucdev/blob/e36e29e40af21f34408d05306e29768874c025a3/umonitor2/script/deploy/umonitor2_crontab/cmdb/server_type_inside.sh
MYSQL="mysql -ucmdbreader -pmysql123456 -h172.17.144.93 --port=3306 cmdb"
https://github.com/gaoxw126/ucdev/blob/e36e29e40af21f34408d05306e29768874c025a3/add_monitor_item/excute_ssh_shell.py
hostname='192.168.8.137'
username='gaozhongsheng'
password='gaozhongsheng'
#port=22
hostname_no_pwd='172.19.130.10'
username_no_pwd='root'
。。。
太多了,随便列举些

漏洞证明:

。。

修复方案:

。。

版权声明:转载请注明来源 prolog@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-08-19 19:26

厂商回复:

已经修复,并梳理类似问题,感谢白帽子prolog对ucloud安全建设的贡献。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-08-16 11:07 | erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)

    ucloud的邮箱不是有手机验证吗

  2. 2015-08-16 13:59 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    呦 看来我也发点凑凑热闹