CH azonosító
CH-8671Angol cím
Disk Pool Manager Multiple SQL Injection VulnerabilitiesFelfedezés dátuma
2013.03.10.Súlyosság
KözepesÖsszefoglaló
A Disk Pool Manager több sérülékenysége vált ismertté, amelyeket kihasználva a támadók SQL befecskendezéses (SQL injection) támadásokat hajthatnak végre.
Leírás
Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva pl. a “dpm_get_pending_req_by_token()” függvényben (dpm/dpm_mysql_ifce.c) , mielőtt SQL lekérdezésben felhasználásra kerülne. Ez kihasználható SQL lekérdezések manipulálására tetszőleges SQL kód befecskendezésével.
A sérülékenység az 1.8.6 előtti verziókat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 52487
Egyéb referencia: site.pi3.com.pl
Egyéb referencia: wiki.egi.eu
