登录 注册
开源 企业版 高校版 私有云 模力方舟 模力方舟
扫描微信二维码支付
取消
支付完成
Watch
不关注 关注所有动态 仅关注版本发行动态 关注但不提醒动态
7 Star 0 Fork 12

src-openEuler/cobbler

代码 Issues 2 Pull Requests 0 Wiki 统计 流水线
服务

CVE-2021-40323

已完成
CVE和安全问题
openeuler-ci-bot
拥有者
创建于  
2021-10-13 09:51

一、漏洞信息
漏洞编号:CVE-2021-40323
漏洞归属组件:cobbler
漏洞归属的版本:3.2.0
CVSS V3.0分值:
BaseScore:9.8 Critical
Vector:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞简述:
Cobbler before 3.3.0 allows log poisoning, and resultant Remote Code Execution, via an XMLRPC method that logs to the logfile for template injection.
漏洞公开时间:2021-10-04 14:15
漏洞创建时间:2021-10-13 01:51:17
漏洞详情参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2021-40323

更多参考(点击展开)
参考来源 参考链接 来源链接
MISC https://github.com/cobbler/cobbler/commit/d8f60bbf14a838c8c8a1dba98086b223e35fe70a
MISC https://github.com/cobbler/cobbler/releases/tag/v3.3.0
nvd https://access.redhat.com/security/cve/CVE-2021-40323
redhat_bugzilla https://lists.suse.com/pipermail/sle-security-updates/2021-September/009468.html
redhat_bugzilla https://github.com/cobbler/cobbler/issues/2795
ubuntu https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40323
ubuntu https://github.com/cobbler/cobbler/pull/2794
ubuntu https://tnpitsecurity.com/blog/cobbler-multiple-vulnerabilities/
ubuntu https://nvd.nist.gov/vuln/detail/CVE-2021-40323
ubuntu https://launchpad.net/bugs/cve/CVE-2021-40323
ubuntu https://security-tracker.debian.org/tracker/CVE-2021-40323
ubuntu https://bugzilla.redhat.com/show_bug.cgi?id=2006840
ubuntu https://github.com/cobbler/cobbler/issues/2795
debian https://security-tracker.debian.org/tracker/CVE-2021-40323

漏洞分析指导链接:
https://gitee.com/openeuler/cve-manager/blob/master/cve-vulner-manager/doc/md/manual.md
漏洞数据来源:
openBrain开源漏洞感知系统
漏洞补丁信息:

详情(点击展开)
影响的包 修复版本 修复补丁 问题引入补丁 来源
https://github.com/cobbler/cobbler/commit/d8f60bbf14a838c8c8a1dba98086b223e35fe70a MISC
https://github.com/cobbler/cobbler/pull/2794 ubuntu

二、漏洞分析结构反馈
影响性分析说明:
Cobbler before 3.3.0 allows log poisoning, and resultant Remote Code Execution, via an XMLRPC method that logs to the logfile for template injection.
openEuler评分:
9.8
Vector:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
受影响版本排查(受影响/不受影响):
1.master(3.3.7):受影响
2.openEuler-20.03-LTS-SP4(3.2.0):受影响
3.openEuler-22.03-LTS-SP3(3.2.3):受影响
4.openEuler-22.03-LTS-SP4(3.2.3):受影响
5.openEuler-24.03-LTS(3.2.3):受影响
6.openEuler-24.03-LTS-Next(3.2.3):受影响
7.openEuler-24.03-LTS-SP1(3.2.3):受影响
8.openEuler-24.03-LTS-SP2(3.2.3):受影响

修复是否涉及abi变化(是/否):
1.master(3.3.7):是
2.openEuler-20.03-LTS-SP4(3.2.0):否
3.openEuler-22.03-LTS-SP3(3.2.3):否
4.openEuler-22.03-LTS-SP4(3.2.3):否
5.openEuler-24.03-LTS(3.2.3):否
6.openEuler-24.03-LTS-Next(3.2.3):否
7.openEuler-24.03-LTS-SP1(3.2.3):否
8.openEuler-24.03-LTS-SP2(3.2.3):否

原因说明:
1.master(3.3.7):正常修复
2.openEuler-22.03-LTS-SP3(3.2.3):正常修复
3.openEuler-22.03-LTS-SP4(3.2.3):正常修复
4.openEuler-24.03-LTS(3.2.3):正常修复
5.openEuler-24.03-LTS-Next(3.2.3):正常修复
6.openEuler-24.03-LTS-SP1(3.2.3):正常修复
7.openEuler-24.03-LTS-SP2(3.2.3):正常修复
8.openEuler-20.03-LTS-SP4(3.2.0):不修复-特殊原因导致不再修复

三、漏洞修复
安全公告链接:https://www.openeuler.org/zh/security/safety-bulletin/detail/?id=openEuler-SA-2025-1527

评论 (15)

5329419 openeuler ci bot 1632792936
openeuler-ci-bot 创建了CVE和安全问题 4年前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 负责人设置为t.feng 4年前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 关联仓库设置为src-openEuler/cobbler 4年前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 添加了
 
CVE/UNFIXED
标签 4年前
展开全部操作日志
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 添加了
 
sig/sig-OS-Builder
标签 4年前

[Find-Patch] 抱歉,当前工具暂未找到推荐补丁,请人工查找或者之后再尝试。
若您人工查找到补丁,烦请以 (查找平台:xxx 补丁链接:xxx) 的形式添加评论,我们将持续改进工具,不胜感激!
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 4年前
yanxiaobing2020-yanxiaobing2020
yanxiaobing2020 优先级设置为严重 4年前
yanxiaobing2020-yanxiaobing2020
yanxiaobing2020 计划开始日期设置为2021-10-13 4年前
yanxiaobing2020-yanxiaobing2020
yanxiaobing2020 计划截止日期设置为2021-10-20 4年前
yanxiaobing2020-yanxiaobing2020
yanxiaobing2020 优先级严重 修改为不指定 4年前
yanxiaobing2020-yanxiaobing2020
yanxiaobing2020 优先级设置为严重 4年前
yanxiaobing2020-yanxiaobing2020
yanxiaobing2020 优先级严重 修改为不指定 4年前
yanxiaobing2020-yanxiaobing2020
yanxiaobing2020 优先级设置为严重 4年前

/find-patch
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 4年前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 4年前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 3年前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 3年前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 3年前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 3年前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 3年前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 3年前
orange-snn-orange-snn
orange-snn 任务状态待办的 修改为已挂起 3年前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 任务状态已挂起 修改为待办的 9个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 9个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 9个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 9个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 9个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 9个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 8个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 8个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 8个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 8个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 通过合并 Pull Request !27: update to 3.2.3任务状态待办的 修改为已完成 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 任务状态已完成 修改为待办的 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 通过合并 Pull Request !26: update to 3.3.7任务状态待办的 修改为已完成 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 任务状态已完成 修改为待办的 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 通过合并 Pull Request !29: sync from 2403 sp1任务状态待办的 修改为已完成 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 任务状态已完成 修改为待办的 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 通过合并 Pull Request !31: sync update to 3.2.3任务状态待办的 修改为已完成 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 任务状态已完成 修改为待办的 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 通过合并 Pull Request !32: [sync] PR-29: sync from 2403 sp1任务状态待办的 修改为已完成 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 任务状态已完成 修改为待办的 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 通过合并 Pull Request !34: [sync] PR-31: sync update to 3.2.3任务状态待办的 修改为已完成 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 任务状态已完成 修改为待办的 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 通过合并 Pull Request !33: [sync] PR-29: sync from 2403 sp1任务状态待办的 修改为已完成 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 任务状态已完成 修改为待办的 2个月前

影响性分析说明:
Cobbler before 3.3.0 allows log poisoning, and resultant Remote Code Execution, via an XMLRPC method that logs to the logfile for template injection.
openEuler评分:9.8 Critical
Vector:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
受影响版本排查(受影响/不受影响):
1.master:受影响
2.openEuler-20.03-LTS-SP4:受影响
3.openEuler-22.03-LTS-SP3:受影响
4.openEuler-22.03-LTS-SP4:受影响
5.openEuler-24.03-LTS:受影响
6.openEuler-24.03-LTS-Next:受影响
7.openEuler-24.03-LTS-SP1:受影响
8.openEuler-24.03-LTS-SP2:受影响

修复是否涉及abi变化(是/否):
1.master:是
2.openEuler-20.03-LTS-SP4:否
3.openEuler-22.03-LTS-SP3:否
4.openEuler-22.03-LTS-SP4:否
5.openEuler-24.03-LTS:否
6.openEuler-24.03-LTS-Next:否
7.openEuler-24.03-LTS-SP1:否
8.openEuler-24.03-LTS-SP2:否

原因说明:
1.master:正常修复
2.openEuler-20.03-LTS-SP4:不修复-特殊原因导致不再修复
3.openEuler-22.03-LTS-SP3:正常修复
4.openEuler-22.03-LTS-SP4:正常修复
5.openEuler-24.03-LTS:正常修复
6.openEuler-24.03-LTS-Next:正常修复
7.openEuler-24.03-LTS-SP1:正常修复
8.openEuler-24.03-LTS-SP2:正常修复
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 任务状态待办的 修改为进行中 2个月前
孙苏皖-sunsuwan
孙苏皖 负责人t.feng 修改为sun_hai 2个月前

/check-issue
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 通过合并 Pull Request !35: [sync] PR-34: [sync] PR-31: sync update to 3.2.3任务状态进行中 修改为已完成 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 移除了
 
CVE/UNFIXED
标签 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 移除了
 
sig/sig-OS-Builder
标签 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 添加了
 
CVE/FIXED
标签 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 添加了
 
sig/sig-OS-Builder
标签 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 添加了
 
abi-changed
标签 2个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 1个月前
5329419 openeuler ci bot 1632792936
openeuler-ci-bot 修改了描述 1个月前

登录 后才可以发表评论

状态
负责人
标签
CVE/FIXED
sig/sig-OS-Builder
abi-changed
项目
未立项任务
未立项任务
里程碑
未关联里程碑
未关联里程碑
Pull Requests
未关联
fix CVE-2021-40323 and CVE-2021-40324 and CVE-2021-40325 update to 3.2.3 update to 3.3.7 sync from 2403 sp1 sync update to 3.2.3 sync update to 3.2.3 [sync] PR-29: sync from 2403 sp1 [sync] PR-29: sync from 2403 sp1 [sync] PR-31: sync update to 3.2.3 [sync] PR-34: [sync] PR-31: sync update to 3.2.3
未关联
关联的 Pull Requests 被合并后可能会关闭此 issue
分支
未关联
分支 (22)
标签 (14)
master
openEuler-22.03-LTS-SP3
openEuler-24.03-LTS-SP2
openEuler-22.03-LTS-SP1
openEuler-24.03-LTS-Next
openEuler-22.03-LTS-SP4
openEuler-24.03-LTS
openEuler-24.03-LTS-SP1
openEuler-20.03-LTS-SP4
openEuler-24.09
openEuler-25.03
openEuler-23.09
openEuler-22.03-LTS-Next
openEuler-22.03-LTS-SP2
openEuler-22.03-LTS
openEuler-23.03
openEuler-20.03-LTS-Next
openEuler-20.03-LTS-SP1
openEuler-20.03-LTS-SP2
openEuler-20.03-LTS-SP3
openEuler-21.09
openEuler-22.09
openEuler-24.03-LTS-SP1-release
openEuler-22.03-LTS-SP4-release
openEuler-24.09-release
openEuler-24.03-LTS-release
openEuler-22.03-LTS-SP3-release
openEuler-23.09-rc5
openEuler-22.03-LTS-SP1-release
openEuler-22.09-release
openEuler-22.09-rc5
openEuler-22.09-20220829
openEuler-22.03-LTS-20220331
openEuler-22.03-LTS-round5
openEuler-22.03-LTS-round4
openEuler-20.03-LTS-SP3-release
开始日期   -   截止日期
-
置顶选项
不置顶
不置顶
置顶等级:高
置顶等级:中
置顶等级:低
优先级
严重
不指定
严重
主要
次要
不重要
预计工期 (小时)
参与者(4)
5329419 openeuler ci bot 1632792936 8079354 lhwerico 1600256693 sun_hai-sun_hai_10 liyajie-yajieli
1
https://gitee.com/src-openeuler/cobbler.git
git@gitee.com:src-openeuler/cobbler.git
src-openeuler
cobbler
cobbler
点此查找更多帮助

搜索帮助

Git 命令在线学习 如何在 Gitee 导入 GitHub 仓库
Git 仓库基础操作
企业版和社区版功能对比
SSH 公钥设置
如何处理代码冲突
仓库体积过大,如何减小?
如何找回被删除的仓库数据
Gitee 产品配额说明
GitHub仓库快速导入Gitee及同步更新
什么是 Release(发行版)
将 PHP 项目自动发布到 packagist.org
仓库举报
回到顶部