Összefoglaló
A Nostromo egy sérülékenységét jelentették, amelyet kihasználva a támadók bizalmas rendszer információkat szerezhetnek, vagy akár feltörhetik a sérülékeny rendszert.
Leírás
Az URL-ben átadott bemeneti adatok nem megfelelően vannak ellenőrizve, mielőtt fájlok megjelenítésére használnák. Ezt kihasználva, tetszőleges állomány tartalmát meg lehet ismerni, könyvtár bejárásos támadás segítségével.
Megjegyzés: egy gyengeséget jelent az, hogy a hozzáférhető futtatható fájlokat CGI scriptként kezeli, ami tetszőleges shell parancs végrehajtását teszi lehetővé, amikor ezt könyvtár bejárásos támadással kombinálják.
A sérülékenységet az 1.9.3 verzióban jelentették. Más kiadások is érintve lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.redteam-pentesting.de
CVE-2011-0751 - NVD CVE-2011-0751
SECUNIA 43775