CH azonosító
CH-13175Angol cím
Nessus VulnerabilitiesFelfedezés dátuma
2016.04.14.Súlyosság
KözepesÖsszefoglaló
A Tenable Nessus két sebezhetőség miatt szorul frissítésre. A sérülékenységek szolgáltatásmegtagadási támadásokat, illetve adatszivárgást, adatmanipulációt idézhetnek elő.
Leírás
Az egyik biztonsági hibát a bemeneti paraméterek nem megfelelő kezelése okozza, és az XSS technikákra épülő támadások során is szerephez juthat.
A másik sebezhetőség pedig az XXE (XML External Entity) támogatással hozható összefüggésbe, és speciálisan szerkesztett XML adatok feldolgozásakor a rendszer összeomlását, válaszképtelenné válását eredményezheti.
Megoldás
A 6.6-os verzió már nem tartalmazza a fenti sebezhetőségeket.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
Manipulation of data
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.tenable.com
Egyéb referencia: isbk.hu
CVE-2016-82012 - NVD CVE-2016-82012
CVE-2016-82013 - NVD CVE-2016-82013