TWiki “image” könyvtár betekintés és parancs futtatási sérülékenységei

CH azonosító

CH-1586

Felfedezés dátuma

2008.09.21.

Súlyosság

Alacsony

Érintett rendszerek

TWiki

Érintett verziók

TWiki TWiki

Összefoglaló

A TWiki egy biztonsági hibáját jelentették, melyet a támadók titkos információk felfedésére vagy a sérülékeny rendszer feltörésére használhatnak ki.

Leírás

A TWiki egy biztonsági hibáját jelentették, melyet a támadók titkos információk
felfedésére vagy a sérülékeny rendszer feltörésére használhatnak ki.

A bin/configure “image” paraméterének átadott bemenet nincs megfelelően ellenőrizve,
mielőtt azt az “open()” eljárás meghívásához használnák.
Ezt ki lehet használni tetszőleges helyi fájl tartalmának olvasására könyvtár betekintéses támadásokkal vagy tetszőleges parancsok futtatására shell meta-karakterek használatával.

A sikeres kiaknázás feltétele az alkalmazás helytelen telepítése, ami korlátlan
hozzáférést tesz lehetővé a bin/configure scripthez (eltérve a dokumentációtól).

A biztonsági hibát a 4.2.3. verziónál korábbiakban jelentették.

Megoldás

Frissítsen a legújabb verzióra