Lumension® Endpoint Intelligence Center

Intelligence Center » Browse All Vulnerabilities » CVE-2011-5098

Overview

Vulnerability Score 6.5 6.5
CVE Id CVE-2011-5098
Last Modified 10 Aug 2012 12:00:00
Published 08 Aug 2012 06:26:18
Confidentiality Impact PARTIAL PARTIAL
Integrity Impact PARTIAL PARTIAL
Availability Impact PARTIAL PARTIAL
Access Vector NETWORK
Access Complexity LOW
Authentication SINGLE_INSTANCE

CVE-2011-5098

Summary

chef-server-api/app/controllers/clients.rb in Chef Server in Chef before 0.9.20, and 0.10.x before 0.10.6, does not require administrative privileges for creating admin clients, which allows remote authenticated users to bypass intended access restrictions by leveraging read permission for the validation key and executing a knife client create command with the --admin option.

Vulnerable Systems

Application

  • Opscode Chef 0.10.0

  • Opscode Chef 0.10.2

  • Opscode Chef 0.10.4

  • Opscode Chef 0.5.1

  • Opscode Chef 0.5.2

  • Opscode Chef 0.5.4

  • Opscode Chef 0.5.6

  • Opscode Chef 0.6.0

  • Opscode Chef 0.6.2

  • Opscode Chef 0.7.10

  • Opscode Chef 0.7.12

  • Opscode Chef 0.7.14

  • Opscode Chef 0.7.2

  • Opscode Chef 0.7.4

  • Opscode Chef 0.7.6

  • Opscode Chef 0.7.8

  • Opscode Chef 0.8.10

  • Opscode Chef 0.8.12

  • Opscode Chef 0.8.14

  • Opscode Chef 0.8.16

  • Opscode Chef 0.8.2

  • Opscode Chef 0.8.4

  • Opscode Chef 0.8.6

  • Opscode Chef 0.8.8

  • Opscode Chef 0.9.0

  • Opscode Chef 0.9.10

  • Opscode Chef 0.9.12

  • Opscode Chef 0.9.14

  • Opscode Chef 0.9.16

  • Opscode Chef 0.9.18

  • Opscode Chef 0.9.2

  • Opscode Chef 0.9.4

  • Opscode Chef 0.9.6

  • Opscode Chef 0.9.8


References

CONFIRM - https://github.com/opscode/chef/commit/33f0e9c58bbf047e1b401a834f3abfe72d9a8947

CONFIRM - http://tickets.opscode.com/browse/CHEF-2649


Last Updated: 27 May 2016 10:53:35