CH azonosító
CH-5323Angol cím
Novell Data Synchronizer Mobility Pack Multiple VulnerabilitiesFelfedezés dátuma
2011.08.07.Súlyosság
AlacsonyÖsszefoglaló
A Novell Data Synchronizer több sérülékenységét jelentették, amelyeket kihasználva a felhasználók bizalmas információkat szerezhetnek, valamint támadók session fixation és cross-site scripting (CSS/XSS) támadásokat hajthatnak végre.
Leírás
- A Mobility Pack egy nem részletezett hibáját kihasználva, a GroupWise-zal kapcsolatos bizalmas információk szivároghatnak ki.
- A Web Admin munkamenet kezelésének egy hibáját kihasználva, el elhet téríteni egy másik felhasználó munkamenetét, ha az bejelentkezik egy speciálisan összeállított hivatkozás megnyitása után.
- A sütiken keresztül átadott bizonyos bementi adatok (amikor a “HTTPOnly” flag nincs beállítva) nem megfelelően vannak megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ezt kihasználva tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjének munkamenetében, az érintett oldal vonatkozásában.
Megjegyzés: egy további sérülékenység forrása lehet, hogy a Data Synchronizer Admin az LDAP jelszót egyszerű szöveges formában továbbítja.
A sérülékenységeket a Mobility Pack 1.2 előtti kiadásaiban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Hijacking (Visszaélés)Input manipulation (Bemenet módosítás)
Unspecified (Nem részletezett)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.novell.com
Gyártói referencia: www.novell.com
Gyártói referencia: www.novell.com
Gyártói referencia: www.novell.com
CVE-2011-2221 - NVD CVE-2011-2221
CVE-2011-2222 - NVD CVE-2011-2222
CVE-2011-2223 - NVD CVE-2011-2223
CVE-2011-2224 - NVD CVE-2011-2224
SECUNIA 45527
