Összefoglaló
A bcfg2 sérülékenysége vált ismertté, amelyet kihasználva a támadók feltörhetik a sérülékeny rendszert.
Leírás
A sérülékenység a Trigger plugin-ben lévő bemeneti adat megtisztítási hibából adódik, ami a klienstől érkező UUID mező használatakor jelentkezik. Ez kihasználható tetszőleges shell parancsok befecskendezésére és futtatására a szerver démon (tipikusan root) jogosultságaival.
A sérülékenység sikeres kihasználása root hozzáférést igényel a kliens rendszeren.
A sérülékenységet az 1.2.x verzióban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: permalink.gmane.org
CVE-2012-3366 - NVD CVE-2012-3366
SECUNIA 49629