低危 Kozea Radicale身份验证错误漏洞

CVE编号

CVE-2017-8342

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-05-01

漏洞描述

Kozea Radicale是法国Kozea公司的一个项目，是一套自由且开源的CalDAV（日历同步开放协议）和CardDAV（通讯录同步开放协议）服务器解决方案。 Kozea Radicale 1.1.2之前的版本和2.0.0rc2之前的2.x版本中存在身份验证错误漏洞。攻击者可利用该漏洞实施暴力破解攻击。

解决建议

用户可参考如下厂商提供的安全补丁以修复该漏洞：https://github.com/Kozea/Radicale/commit/059ba8dec1f22ccbeab837e288b3833a099cee2d

参考链接
https://bugs.debian.org/861514
https://github.com/Kozea/Radicale/blob/1.1.2/NEWS.rst
https://github.com/Kozea/Radicale/commit/059ba8dec1f22ccbeab837e288b3833a099cee2d
https://github.com/Kozea/Radicale/commit/190b1dd795f0c552a4992445a231da760211183b
https://lists.debian.org/debian-lts-announce/2020/04/msg00019.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	radicale	radicale	*		Up to (including) 1.1.1
	运行在以下环境
	应用	radicale	radicale	2.0.0	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 1.1.1+20160115-4
	运行在以下环境
	系统	debian_10	radicale	*		Up to (excluding) 1.1.1+20160115-4
	运行在以下环境
	系统	debian_11	radicale	*		Up to (excluding) 1.1.1+20160115-4
	运行在以下环境
	系统	debian_12	radicale	*		Up to (excluding) 1.1.1+20160115-4
	运行在以下环境
	系统	debian_7	radicale	*		Up to (excluding) 0.7-1.1+deb7u2
	运行在以下环境
	系统	debian_8	radicale	*		Up to (excluding) 0.9-1+deb8u2
	运行在以下环境
	系统	debian_sid	radicale	*		Up to (excluding) 1.1.1+20160115-4
	运行在以下环境
	系统	fedora_24	python3-radicale	*		Up to (excluding) 1.1.2-1.fc24
	运行在以下环境
	系统	fedora_25	python3-radicale	*		Up to (excluding) 1.1.2-1.fc25
	运行在以下环境
	系统	fedora_26	python3-radicale	*		Up to (excluding) 1.1.2-1.fc26
	运行在以下环境
	系统	fedora_EPEL_7	radicale-httpd	*		Up to (excluding) 1.1.2-1.el7
	运行在以下环境
	系统	ubuntu_18.04.5_lts	radicale	*		Up to (excluding) 1.1.6-1
	运行在以下环境
	系统	ubuntu_18.10	radicale	*		Up to (excluding) 1.1.6-1

阿里云评分 2.7

• 攻击路径 远程
• 攻击复杂度 困难
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
CWE-362	使用共享资源的并发执行不恰当同步问题（竞争条件）

Exp相关链接

- avd.aliyun.com