|
|
| 一名工程師發現在Azure的RPM Package Manager安裝描述語言含有主機資訊,使用戶的組態資訊曝光,再透過可執行於所有Azure RHEL instances上的rhui-monitor.cloud主機名稱,在其中動手腳就能取得Red Hat 裝置管理員權限。 |
微軟Azure被發現一個軟體元件漏洞,可能使Azure上的Red Hat Enterprise Linux(RHEL)映象檔遭到駭客入侵。所幸該漏洞已經由微軟修補完成。
這個漏洞是由軟體工程師Ian Duffy首先發現。他是在為Azure建立RHEL映象檔時,發現Azure內建的RPM封包管理員(RPM Package Manager)使用的安裝描述語言含有主機資訊,可使用戶組態資訊曝光,由此發現4台曝露於RESTAPI over HTTPS的Red Hat 更新裝置。
他發現一個可執行於所有Azure RHEL instances上、名為PrepareRHUI (Red Hat Update Infrastructure)的封包中包含rhui-monitor.cloud主機名稱,並在存取之後,發現這台主機的使用者與密碼驗證皆無法運作,使他得以在其中動手腳,取得4台Red Hat 更新裝置的管理員權限。
此外,他還發現所有Azure RHEL映象檔皆未執行gpgcheck檢查,再加上如果有人取得RHEL裝置REST API完整管理員權限,就可在下次更新時上傳惡意封包,進而攻城掠地。
微軟在經過通報後,判定此為一項漏洞,並已經修補該漏洞,關閉了rhui-monitor.cloud的存取通道。 |
|
Allegro模仿PADS快捷键Z切换层L换层W改线宽
十代intel I9 电脑主板PCB文件共享 6层PCB
抗干扰2键触摸/电容式触控IC/触控感应芯片V
高抗干扰段码驱动/LCD屏驱动芯片VK2C21AA S
NFC协议分析仪的技术原理和应用场景
MOS管控制小板
MT2503D模块
用支付宝和微信各充10元没到账...
allegro羊皮卷
万万没想到戴尔灵越Inspiron 11-3157笔记本
逆天级-英特尔双至强CPU挂32条DDR4内存条大
有源RFID PCB设计
USB协议分析仪的技术原理和应用场景
抗干扰单路触控 /电容式触摸芯片/触摸IC-VK
LCR数字电桥的技术原理和应用场景
耐压绝缘测试仪的技术原理和应用场景
液晶驱动控制电路/段码LCD显示驱动芯片VK02
NT-PADS-第四期-项目二
DRV8701 高达 30A 的直流电机驱动器 (AD)
蓝牙协议分析仪的技术原理和应用场景
LCD显示驱动IC-VK0384 LQFP64液晶屏驱动芯
发表于 2016-12-6 18:55:44
