Összefoglaló
Az openSUSE Build Service több sérülékenységét is jelentették, amelyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadásokra és bizonyos biztonsági szabályok megkerülésére.
Leírás
- Az API meghatározatlan hibája kihasználható a csomagok vagy projektek módosítására írási jogosultság nélküli hozzáférés esetén is.
- Az API ismeretlen hibája lehetővé tesz, hogy idegen felhasználók LDAP módban jelszavakat változtassanak meg.
- Egyes, részletesen nem ismertetett, bemeneti adatok ellenőrzése nem megfelelő, mielőtt visszaadnák a felhasználóknak. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Security bypass (Biztonsági szabályok megkerülése)
Unknown (Ismeretlen)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: news.opensuse.org
SECUNIA 44306
SECUNIA 44383
CVE-2011-0462 - NVD CVE-2011-0462
CVE-2011-0466 - NVD CVE-2011-0466