watchbog再升级,企业黄金修补期不断缩小,或面临蠕虫和恶意攻击( 三 )
其中使用了401HTTP 认证 , 并且存在admin:admin123的弱密码 , 因此只要对createrepo或mergerepo这两个字段进行命令注入 , 即可完成攻击 。
通过对比漏洞修复前后的相关代码 , 其主要修改集中在yum/internal/task/CommandLineExecutor.java 这个文件 。
在原有逻辑中 , 将直接把用户提交的命令进行执行 , 而修复方案即是增加了一个过滤函数getCleanCommand 。
该函数将判断即将执行命令的文件路径和是否处于白名单内 , 否则将拒绝执行 。
CVE_2019_5475生命周期回顾
-
2019-07-23 白帽子上报漏洞
-
2019-08-09 漏洞概要公开厂商更新版本
-
2019-08-21 漏洞细节和利用代码公开
-
2019-09-04 国内白帽子提交到seebug
推荐阅读
- |原神2.5卡池升级,大批新角色将提前上线,神里绫人好消息来了!
- 杨玉环|杨玉环虎年限定美哭,孙尚香异界灵契升级,备好一颗水晶给扁鹊
- 孙尚香|王者荣耀:嫦娥台词方案2选1,新传说升级,玉环喜提虎年限定
- 王者荣耀|王者荣耀:异界灵契技能特效升级优化,拒霜思语音二选一,上官婉儿或获得亚运会专属
- 魔兽世界|魔兽世界:TBC部落萌新做任务上头,连坐车升级都不去了
- 梦幻西游|梦幻西游:神马童子再次升级,18技能带力劈,技能多到很难数清楚
- 炉石传说|炉石成过去?最新口碑下滑,网易忙出3D升级版救场获过半顶流认可
- 老玩家|热血传奇:天关开启了升级新模式,如只靠打怪升级,老玩家会留念吗
- xyg|KPL樊叔赛评:XYG对阵WE,谁能通关“升级之路”?
- 地下城与勇士|DNF:策划又在疯狂试探!105版本武器“凉了”,或不能升级和继承
-
