Foreman 'host_common.rb'多个SQL注入漏洞

Foreman 'host_common.rb'多个SQL注入漏洞

发布日期：2013-11-18
更新日期：2013-11-20

受影响系统：
Foreman Foreman < 1.2.3
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 63785
CVE(CAN) ID: CVE-2013-4386

Foreman是可以自动化维护服务器生命周期的管理工具。

Foreman 1.2.3之前版本存的主机及主机组参数在多个SQL注入漏洞，可使远程攻击者利用这些漏洞控制受影响应用，执行未授权数据库操作。

<*来源：Dominic Cleal
 
  链接：https://bugzilla.redhat.com/show_bug.cgi?id=1013076
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Foreman
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/theforeman/foreman

https://github.com/theforeman/foreman/commit/3dd4c0e5 (develop)
https://github.com/theforeman/foreman/commit/a3564bcb (1.3)
https://github.com/theforeman/foreman/commit/911e3f15 (1.2)