Összefoglaló
Jelentettek néhány sérülékenységet a Photo Organizerben, amiket kihasználva rosszindulatú felhasználók adatokat módosíthatnak és rosszindulatú támadók SQL befecskendezéses támadást hajthatnak végre.
Leírás
Jelentettek néhány sérülékenységet a Photo Organizerben, amiket kihasználva rosszindulatú felhasználók adatokat módosíthatnak és rosszindulatú támadók SQL befecskendezéses támadást hajthatnak végre.
- A sérülékenységet az okozza, hogy a program nem ellenőrzi megfelelően a tulajdonosi jogosultságot és engedélyeket bizonyos műveletek során pl. a kamera, könyvtár, album és fotó objektumok esetén. Ezt kihasználva a szükséges engedélyek nélkül is módosítani lehet az objektumokat.
- Az egyes paramétereknek átadott bemenet nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
A sebezhetőségeket a 2.33-rc1 előtti verziókban jelentették. Más kiadások is érintve lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Authentication Issues (Hitelesítés)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2006-6246 - NVD CVE-2006-6246
CVE-2006-6245 - NVD CVE-2006-6245
Egyéb referencia: po.shaftnet.org
SECUNIA 23176