Red Hat Enterprise IPA证书校验未授权访问漏洞 | ZeroBox Vulnerability Database

Red Hat Enterprise IPA证书校验未授权访问漏洞

漏洞起因
访问控制错误
危险等级

影响系统
Red Hat Enterprise Linux Desktop (v. 6)
Red Hat Enterprise Linux HPC Node (v. 6)
Red Hat Enterprise Linux Server (v. 6)
Red Hat Enterprise Linux Workstation (v. 6)

不受影响系统

危害
远程攻击者利用漏洞绕过安全限制获得未授权访问。

攻击所需条件
攻击者必须访问Red Hat Enterprise IPA。

漏洞信息
Red Hat Enterprise IPA是一款提供集中管理识别,策略和审核的集成方案。
可进行中间人攻击的远程用户在当IPA客户端尝试加入域时可截获目标IPA服务器和IPA客户端,允许攻击者利用漏洞使用客户端验证凭据访问IPA服务器。
漏洞是由于在加入过程中IPA服务器不安全向IPA客户端提供CA证书引起的,可使远程攻击者进行中间人攻击。
此漏洞发生在初始化客户端加入域的过程中,因为此时IPA客户端还没拥有服务器的CA证书。
此漏洞是

测试方法

厂商解决方案
用户可参考如下厂商提供的安全公告获得补丁信息:
http://rhn.redhat.com/errata/RHSA-2013-0188.html

漏洞提供者
RedHat