Összefoglaló
A Novell NetStorage olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók cross-site scripting támadásokat kivitelezhetnek, érzékeny információkat szerezhetnek meg vagy szolgáltatás megtagadást idézhetnek elő.
Leírás
A Novell NetStorage olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók cross-site scripting támadásokat kivitelezhetnek, érzékeny információkat szerezhetnek meg vagy szolgáltatás megtagadást idézhetnek elő.
- A “filter” mezőhöz rendelt bevitel nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
- A mail opció megvalósításának hibáját kihasználva kideríthető a NetStorage telepítés teljes elérési útja.
- Az “NFS Info” és “Netware Info” opciók megvalósításának hibája kihasználható a szerver rendellenes leállítására vagy a szerver működésének felfüggesztésére.
A sérülékenységek a 3.1.5-19. verzióban találhatók, egyéb verziók is érintettek lehetnek.
Megoldás
Szűrje a kártékony karaktereket és karaktersorozatokat egy web proxyn keresztül!
Csak megbízható felhasználóknak engedélyezzen hozzáférést!
Támadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 34769
Gyártói referencia: www.novell.com