Novell NetStorage többszörös sérülékenység

CH azonosító

CH-2132

Felfedezés dátuma

2009.04.21.

Súlyosság

Alacsony

Érintett rendszerek

NetStorage
Novell

Érintett verziók

Novell NetStorage 3.x

Összefoglaló

A Novell NetStorage olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók cross-site scripting támadásokat kivitelezhetnek, érzékeny információkat szerezhetnek meg vagy szolgáltatás megtagadást idézhetnek elő.

Leírás

A Novell NetStorage olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók cross-site scripting támadásokat kivitelezhetnek, érzékeny információkat szerezhetnek meg vagy szolgáltatás megtagadást idézhetnek elő.

  1. A “filter” mezőhöz rendelt bevitel nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
  2. A mail opció megvalósításának hibáját kihasználva kideríthető a NetStorage telepítés teljes elérési útja.
  3. Az “NFS Info” és “Netware Info” opciók megvalósításának hibája kihasználható a szerver rendellenes leállítására vagy a szerver működésének felfüggesztésére.

A sérülékenységek a 3.1.5-19. verzióban találhatók, egyéb verziók is érintettek lehetnek.

Megoldás

Szűrje a kártékony karaktereket és karaktersorozatokat egy web proxyn keresztül!
Csak megbízható felhasználóknak engedélyezzen hozzáférést!