漏洞关键信息 漏洞标识: ASA-2012-03-01 发布时间: 2012-03-20 漏洞描述: 不正确的清理 CertFP 入口可能导致未定义的行为(权限提升或崩溃)。 受影响版本: - 5.2.0 - 5.2.6 - 6.0.0 - 6.0.9 - 7.0.0-alpha1 - 7.0.0-beta1 CVSSv2 基本分: 7.5 访问向量: 网络 访问复杂度: 中等 身份验证需求: 多个实例 影响: - 保密性: 完全 - 完整性: 部分 - 可用性: 完全 利用可能性: 功能性漏洞存在 修复级别: 官方修复 报告置信度: 确认 影响描述 问题概述: 当一个账户过期或删除时,CertFP 入口可能继续存在并偶尔指向已分配对象或另一个账户对象。如果攻击者创建并删除带有特定 CertFP 指纹的账户,可能会在未来访问另一个账户,而不被其他账户知道。 额外影响: 在服务重启时,可能导致对磁盘中对象存储的解串过程中出现异常条件。 漏洞发现 发现者: Aaron M.D. Jones 报告链接: Jira SRV-166 解决方案 补丁版本: - Atheme 5.2.7, 6.0.10, 7.0.0-beta2 升级建议: 强烈建议升级到最新版本。 联系信息 IRC: irc.atheme.org #atheme-project Web: www.atheme.org