当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0147362

漏洞标题:乐视云计算相关模块源码上传在github上泄露大量数据库管理员密码

相关厂商:乐视网

漏洞作者: 憨哥

提交时间:2015-10-17 12:39

修复时间:2015-12-03 09:56

公开时间:2015-12-03 09:56

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-17: 细节已通知厂商并且等待厂商处理中
2015-10-19: 厂商已经确认,细节仅向厂商公开
2015-10-29: 细节向核心白帽子及相关领域专家公开
2015-11-08: 细节向普通白帽子公开
2015-11-18: 细节向实习白帽子公开
2015-12-03: 细节向公众公开

简要描述:

在github上发现了创建在两个月以前的乐视云计算后台监控模块的工程源码,在同一个作者下面还有乐视云计算日志系统接收端工程源码和乐视云计算日志分析系统对外api的工程源码 ,源码泄露本身就很严重了,其中工程配置信息还泄露线上、开发、测试的服务器和数据库用户名、密码。

详细说明:

1后台监控模块的工程源码地址:https://github.com/xingganfengxing/monitor

选区_010.png


某个文件源码,别逗我,我好像发现了什么,不知道360buy和乐视到底是啥关系,强哥会过来收收软件费吗:
https://github.com/xingganfengxing/monitor/blob/master/branches/src/main/java/com/letv/cdn/monitor/common/GlobalCacheInfo.java

选区_014.png


工程源码中配置相关目录:
https://github.com/xingganfengxing/monitor/tree/master/branches/src/main/resources/conf

选区_013.png


线上环境配置信息,有数据库服务器的内网地址、外网地址、用户名和密码:
https://github.com/xingganfengxing/monitor/blob/master/branches/src/main/resources/conf/online/application.properties

选区_015.png


测试环境:
https://github.com/xingganfengxing/monitor/blob/master/branches/src/main/resources/conf/dev_online/application.properties

选区_016.png


开发线上环境:
https://github.com/xingganfengxing/monitor/blob/master/branches/src/main/resources/conf/dev_online/application.properties

选区_017.png


开发测试环境:
https://github.com/xingganfengxing/monitor/blob/master/branches/src/main/resources/conf/dev_test/application.properties

选区_018.png


临时环境:
https://github.com/xingganfengxing/monitor/blob/master/branches/src/main/resources/conf/temp/application.properties

选区_019.png

 
Memcached 服务器内网地址,管理员名字和密码:
https://github.com/xingganfengxing/monitor/blob/master/branches/src/main/resources/env.properties

选区_020.png


2乐视云计算接收日志分析系统接收端
https://github.com/xingganfengxing/receiver

选区_023.png


https://github.com/xingganfengxing/receiver/tree/master/trunk

选区_024.png


某个文件源码:
https://github.com/xingganfengxing/receiver/blob/master/trunk/logparser/src/main/java/com/letvcloud/cdn/log/model/LogData.java

选区_022.png


3乐视云计算日志分析系统 对外api
https://github.com/xingganfengxing/openapi

选区_025.png


配置文件:
https://github.com/xingganfengxing/openapi/blob/master/src/main/resources/env.properties

选区_026.png


漏洞证明:

如详细说明。
另外:https://github.com/xingganfengxing/monitor/blob/master/branches/src/main/resources/conf/online/application.properties
中有个外网地址123.126.32.30,用了tomcat:

选区_027.png


选区_028.png


这个tomcat改更新了,版本有点低,就到这里了,技术不够不会往下弄了。

修复方案:

1联系上传人员删除之
2加强安全管理,员工的安全意识教育。

版权声明:转载请注明来源 憨哥@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-10-19 09:55

厂商回复:

感谢提交

最新状态:

暂无

漏洞评价:

评论

  1. 2015-10-17 14:15 | 动后河 ( 实习白帽子 | Rank:57 漏洞数:16 | ☭)

    github养活了多少白帽

  2. 2015-10-17 16:11 | 魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)

    标题都已经说明一切了,那还需要详细

  3. 2015-10-17 17:06 | 路人毛 ( 实习白帽子 | Rank:48 漏洞数:15 | 呵呵)

    楼上说的有道理

  4. 2015-10-17 21:52 | 憨哥 ( 路人 | Rank:8 漏洞数:1 | 要是哪天挖漏洞时,再没有心跳耳热口干的感...)

    @动后河 哈哈,技术太菜,只能先从信息泄露搞起了。