Érintett rendszerek
Apache Software Foundationmod_tcl
Érintett verziók
Apache Software Foundation mod_tcl 1.x
Összefoglaló
Jelentettek néhány hibát az Apache HTTP kiszolgáló mod_tcl moduljában, amit támadók kihasználhatnak az érintett rendszer feltörésére.
Leírás
A sérülékenységeket a tcl_cmds.c és a tcl_core.c kódjában található formátum string kezelési hibák okozzák a “set_var()” függvény felhasználó által megadott értékekkel történő meghívásakor. Ezt egy formátum határozókat tartalmazó, speciálisan kialakított lekérdezéssel lehet kihasználni.
Sikeres kihasználása tetszőleges kód futtatását teszi lehetővé, ha a támadó tudja a sebezhető modult használó tcl server script helyét.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: labs.idefense.com
CVE-2006-4154 - NVD CVE-2006-4154
SECUNIA 22458
