Security Lab

PT-2011-23: Раскрытие чувствительной информации в GLPI

(PT-2011-23) Positive Technologies Security Advisory
Раскрытие чувствительной информации в GLPI

Уязвимое ПО

GLPI
Версия 0.80.1 и более ранние

Ссылка на приложение:
http://www.glpi-project.org/

Рейтинг опасности

Уровень опасности: Высокий
Воздействие: Раскрытие чувствительной информации
Вектор атаки: Удаленный

CVSS v2:
Base Score: 6.5
Vector: (AV:N/AC:L/Au:S/C:P/I:P/A:P)

CVE: отсутствует

Описание программного обеспечения

Система GLPI представляет собой help desk приложение. Данное решение предоставляется бесплатно.

Описание уязвимости

Исследовательcкий центр Positive Research обнаружил уязвимость раскрытия чувствительной информации, позволяющая получить записи из БД обладая минимальными привилегиями.

Уязвимость содержиться в скрипте /ajax/autocompletion.php. Специально сформированный запрос к данному скрипту позволяет получить имена и хеши паролей зарегистрированных в системе пользователей.

 

Решение

Установите последнюю версию приложения

Ссылка на обновление

Статус уведомления

11.07.2011 - Производитель уведомлен
20.07.2011 - Производителю отправлены детали уязвимости
21.07.2011 - Производитель выпустил исправление
03.08.2011 - Публикация уязвимости

 

Благодарности

Уязвимость обнаружил Юрий Гольцев (Исследовательcкий центр Positive Research компании Positive Technologies)

Ссылки

http://www.securitylab.ru/lab/PT-2011-23

Список отчетов о ранее обнаруженных уязвимостях Positive Research Center:

http://www.ptsecurity.ru/advisory.asp
http://www.securitylab.ru/lab/

О Positive Technologies

Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности.
Основные направления деятельности компании - разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru.

Заказчиками Positive Technologies являются более 40 государственных учреждений, более 50 банков и финансовых структур, 20 телекоммуникационных компаний, более 40 промышленных предприятий, компании ИТ-индустрии, сервисные и ритейловые компании России, стран СНГ, Балтии, а также Великобритании, Германии, Голландии, Израиля, Ирана, Китая, Мексики, США, Таиланда, Турции, Эквадора, ЮАР, Японии.

Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, имеют профессиональные звания и сертификаты, являются членами международных организаций и активно участвуют в развитии отрасли.