Összefoglaló
A TWiki egy biztonsági hibáját jelentették, melyet a támadók titkos információk felfedésére vagy a sérülékeny rendszer feltörésére használhatnak ki.
Leírás
A TWiki egy biztonsági hibáját jelentették, melyet a támadók titkos információk
felfedésére vagy a sérülékeny rendszer feltörésére használhatnak ki.
A bin/configure “image” paraméterének átadott bemenet nincs megfelelően ellenőrizve,
mielőtt azt az “open()” eljárás meghívásához használnák.
Ezt ki lehet használni tetszőleges helyi fájl tartalmának olvasására könyvtár betekintéses támadásokkal vagy tetszőleges parancsok futtatására shell meta-karakterek használatával.
A sikeres kiaknázás feltétele az alkalmazás helytelen telepítése, ami korlátlan
hozzáférést tesz lehetővé a bin/configure scripthez (eltérve a dokumentációtól).
A biztonsági hibát a 4.2.3. verziónál korábbiakban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2008-3195 - NVD CVE-2008-3195
Gyártói referencia: twiki.org
SECUNIA 31849
US-CERT 362012
Gyártói referencia: twiki.org