Érintett rendszerek
GentooKDE Extragear
KTorrent
Linux
Érintett verziók
KDE Extragear KTorrent 2.x, 3.x
Gentoo Linux 1.x
Összefoglaló
A Gentoo kiadta a ktorrent frissítését. Ez több olyan sérülékenységet is javít, melyeket rosszindulatú felhasználók és támadók a sérülékeny rendszer feltörésére és egyes biztonsági korlátozások megkerülésére használhatnak ki.
Leírás
A Gentoo kiadta a ktorrent frissítését. Ez több olyan sérülékenységet is javít, melyeket rosszindulatú felhasználók és támadók a sérülékeny rendszer feltörésére és egyes biztonsági korlátozások megkerülésére használhatnak ki.
A web interface plugin (webes felületet biztosító bővítmény) nem helyesen korlátozza a torrent feltöltés funkcióhoz való hozzáféréseket és a kérés paraméterek ellenőrzése sem megfelelő.
Egy távoli támadó a web felületnek küldött speciális paraméterekkel tetszőleges
torrent feltöltéseket kezdeményezhet, vagy tetszőleges kódot futtathat távolról a KTorrent folyamat jogosultságával.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Authentication Issues (Hitelesítés)Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Remote/Network (Távoli/hálózat)
Hivatkozások
Gyártói referencia: www.gentoo.org
SECUNIA 32442
SECUNIA 34003
Egyéb referencia: www.vupen.com
CVE-2008-5905 - NVD CVE-2008-5905
CVE-2008-5906 - NVD CVE-2008-5906