Összefoglaló
A Kerio Control néhány sérülékenység miatt szorul frissítésre. A hibák elsősorban adatszivárgást és jogosulatlan rendszerhozzáférést tehetnek lehetővé a támadók számára. Akadnak XSS és SQL injection típusú sebezhetőségek is.
Leírás
A report.php tartalmazza az SQL injection hibát, ami speciálisan összeállított paraméterekkel válhat kihasználhatóvá.
A nonauth/certificate.php fájl egy XSS-rendellenességet rejt, ami tetszőleges HTML és script kódok futtatását teheti lehetővé.
Egy harmadik sérülékenység pedig a frissítési funkciót érinti, és .img kiterjesztésű (valójában tar) fájlokkal válhat kihasználhatóvá. Ez a hiba root jogosultságokkal történő kódfuttatást biztosíthat.
Megoldás
A 8.6.2-es verzióra történő frissítés.
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Manipulation of data
SQL Injection
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.kerio.com
Egyéb referencia: isbk.hu
