OrientDB Server Community Edition Studio组件随机值漏洞（CVE-2015-2913）

OrientDB Server Community Edition Studio组件随机值漏洞（CVE-2015-2913）
发布日期：2016-01-03
更新日期：2016-01-04

受影响系统：

OrientDB OrientDB < 2.0.15
OrientDB OrientDB 2.1.x-2.1.1

描述：

CVE（CAN） ID: CVE-2015-2913

OrientDB是用Java编写的开源的NoSQL数据库管理系统。

OrientDB Server Community Edition 2.0.15之前版本、2.1.x-2.1.1版本，Studio组件内server/network/protocol/http/OHttpSessionManager.java未正确使用java.util.Random类生成随机会话ID值，这可使远程攻击者确定此类中的PRNG内部状态，预测该值。

<*来源：Raffaela Frank

链接：https://www.kb.cert.org/vuls/id/845332
*>

建议：

厂商补丁：

OrientDB
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/orientechnologies/orientdb/commit/668ece96be210e742a4e2820a3085b215cf55104
https://github.com/orientechnologies/orientdb/issues/4824OrientDB 的详细介绍：请点这里
OrientDB 的下载地址：请点这里