Összefoglaló
A Novell NetStorage olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók cross-site scripting támadásokat kivitelezhetnek, érzékeny információkat szerezhetnek meg vagy szolgáltatás megtagadást idézhetnek elő.
Leírás
A Novell NetStorage olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók cross-site scripting támadásokat kivitelezhetnek, érzékeny információkat szerezhetnek meg vagy szolgáltatás megtagadást idézhetnek elő.
- A “filter” mezőhöz rendelt bevitel nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
- A mail opció megvalósításának hibáját kihasználva kideríthető a NetStorage telepítés teljes elérési útja.
- Az “NFS Info” és “Netware Info” opciók megvalósításának hibája kihasználható a szerver rendellenes leállítására vagy a szerver működésének felfüggesztésére.
A sérülékenységek a 3.1.5-19. verzióban találhatók, egyéb verziók is érintettek lehetnek.
Megoldás
Szűrje a kártékony karaktereket és karaktersorozatokat egy web proxyn keresztül!
Csak megbízható felhasználóknak engedélyezzen hozzáférést!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 34769
Gyártói referencia: www.novell.com