Összefoglaló
A McAfee Loss Data Prevention sérülékenységeit jelentették, amelyeket kihasználva a rosszindulatú felhasználók SQL befecskendezéses támadásokat hajthatnak végre, a támadók pedig hamisításos és eltérítéses támadásokat hajthatnak végre és szolgáltatás megtagadást idézhetnek elő.
Leírás
- A RAR fájlok kezelésekor jelentkető hiba kihasználható szegmentálási hiba előidézésére egy fertőzött fájlt tartalmazó RAR fájllal.
- Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben felhasználásra kerülne. Ez kihasználható SQL lekérdezések manipulálására tetszőleges SQL kód befecskendezésével.
- Az alkalmazás lehetővé teszi a felhasználók számára, hogy bizonyos műveleteket HTTP kéréseken keresztül hajtsanak végre, a jogosultságok megfelelő ellenőrzése nélkül. Ez kihasználható bizonyos műveletek elvégzésére, ha a felhasználót sikerül rávenni egy kártékony hivatkozásra történő kattintásra.
- Az alkalmazás egy sérülékeny sendmail verziót használ.
További információ az alábbi hivatkozáson található:
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Cross Site Scripting (XSS/CSS)Deny of service (Szolgáltatás megtagadás)
Hijacking (Visszaélés)
Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: kc.mcafee.com
Gyártói referencia: kc.mcafee.com
CVE-2009-4565 - NVD CVE-2009-4565
SECUNIA 58886