漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-094491
漏洞标题:Sangfor VMP redis unauthorized access vulnerability
相关厂商:深信服
漏洞作者: f4ckbaidu
提交时间:2015-01-29 11:28
修复时间:2015-04-29 11:30
公开时间:2015-04-29 11:30
漏洞类型:非授权访问/认证绕过
危害等级:高
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-01-29: 细节已通知厂商并且等待厂商处理中
2015-02-02: 厂商已经确认,细节仅向厂商公开
2015-02-05: 细节向第三方安全合作伙伴开放
2015-03-29: 细节向核心白帽子及相关领域专家公开
2015-04-08: 细节向普通白帽子公开
2015-04-18: 细节向实习白帽子公开
2015-04-29: 细节向公众公开
简要描述:
Sangfor VMP redis unauthorized access vulnerability
详细说明:
no password set for redis(port 6379)
attacker's able to shutdown redis through redis-cli,this might corrupt VMP cluster(causing denial of service)
漏洞证明:
修复方案:
set auth password for redis
reference: http://redis.io/topics/config
版权声明:转载请注明来源 f4ckbaidu@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:4
确认时间:2015-02-02 12:03
厂商回复:
感谢白帽子提交的漏洞。经过我们工程师的确认,该漏洞确实存在。但该漏洞仅仅影响告警邮件的发送,告警邮件的内容一般为策略配置的情况等,不涉及客户的业务数据,所以该漏洞不会对客户的业务造成影响,也不会影响设备的运行。考虑到这一点,我们将漏洞危害等级评委rank4。目前针对该漏洞的补丁包已于上周五推出,我们的工程师已为相关客户安装了补丁包。请白帽子私信留下联系方式,我们将会给您寄送答谢礼物~
最新状态:
暂无
( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)