Red Hat Network Satellite Server sérülékenységek


2011. szeptember 19. 07:21

CH azonosító

CH-5570

Angol cím

Red Hat Network Satellite Server Multiple Vulnerabilities

Felfedezés dátuma

2011.09.16.

Súlyosság

Alacsony

Érintett rendszerek

Network Satellite Server
Red Hat

Érintett verziók

Red Hat Network Satellite Server 5.x

Összefoglaló

A Red Hat Network Satellite Server több sérülékenységét is jelentették, amelyeket a támadók kihasználhatnak spoofing és cross-site scripting (CSS/XSS) támadások indítására.

Leírás

  1. Az “url_bounce” paraméteren keresztül a bejelentkező oldalnak átadott bemeneti adat ellenőrzése nem megfelelő, mielőtt a felhasználók átirányításához felhasználnák azt. Ez kihasználható a felhasználó tetszőleges weboldalra történő átirányítására, például, ha a felhasználó rákattint a speciálisan erre a célra elkészített hivatkozásra, ami a megbízható domain alatt az érintett script-re mutat.
  2. A SystemGroupList.do részére átadott bizonyos bemeneti adat nincsenek megfelelően ellenőrizve a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására, a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
  3. A keresési eredmények meghatározásához (a szűrési feltételek beállításakor) átadott bizonyos bemeneti adatok ellenőrzése nem megfelelő a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására, a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
  4. A csatorna kereső űrlapoknak átadott egyes bemeneti adatok ellenőrzése nem megfelelő, a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására, a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
  5. A help/forgot_password.pxt után hozzáfűzött URL-hez csatolt bemeneti adat nincs megfelelően ellenőrizve, a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására, a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: rhn.redhat.com
SECUNIA 46056
SECUNIA 45010
CVE-2011-1594 - NVD CVE-2011-1594
CVE-2011-2919 - NVD CVE-2011-2919
CVE-2011-2920 - NVD CVE-2011-2920
CVE-2011-2927 - NVD CVE-2011-2927
CVE-2011-3344 - NVD CVE-2011-3344

Legfrissebb sérülékenységek
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége
CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége
CVE-2023-6320 – LG webOS sérülékenysége
CVE-2023-6319 – LG webOS sérülékenysége
Tovább a sérülékenységekhez »