PT-2012-05: Множественные уязвимости в Quercus
(PT-2012-05) Positive Technologies Security Advisory
Множественные уязвимости в Quercus
Уязвимое ПО
Quercus on Resin
Версия 4.0.28 и более ранняя
Ссылка:
http://www.caucho.com/
Описание программы
Quercus on Resin — реализация PHP Quercus, входящая в состав веб-сервера Resin.
1. Контаминация HTTP-запроса
Уровень опасности: Высокий
Воздействие: Контаминация HTTP-запроса
Вектор атаки: Удаленный
CVSS v2:
Base Score: 7.5
Vector: (AV:N/AC:L/Au:N/C:P/I:P/A:P)
CVE: CVE-2012-2965
Описание уязвимости
Некоторые из служебных символов в именах переменных обрабатываются некорректно, что может быть использовано в атаках на клиентов. Кроме того, возможно спровоцировать ошибку 500.
Решение
Установите последнюю версию приложения
2. Глобализация и перезапись переменных
Уровень опасности: Высокий
Воздействие: Глобализация и перезапись переменных
Вектор атаки: Удаленный
CVSS v2:
Base Score: 7.5
Vector: (AV:N/AC:L/Au:N/C:P/I:P/A:P)
CVE: CVE-2012-2966
Описание уязвимости
При передаче параметров методом POST параметры глобализируются и возможна перезапись элементов массива _SERVER.
Решение
Установите последнюю версию приложения
3. Некорректное сравнение переменных
Уровень опасности: Высокий
Воздействие: Некорректное сравнение переменных
Вектор атаки: Удаленный
CVSS v2:
Base Score: 7.5
Vector: (AV:N/AC:L/Au:N/C:P/I:P/A:P)
CVE: CVE-2012-2967
Описание уязвимости
Гибкое сравнение (с помощью оператора ==) переменных различного типа реализовано некорректно.
Решение
Установите последнюю версию приложения
4. Обход каталога
Уровень опасности: Средний
Воздействие: Обход каталога
Вектор атаки: Удаленный
CVSS v2:
Base Score: 5.0
Vector: (AV:N/AC:L/Au:N/C:N/I:P/A:N)
CVE: CVE-2012-2968
Описание уязвимости
В процессе загрузки файлов возможно внедрение строки ../ в имя файла (путем подделки HTTP-запроса). В результате такого внедрения возможна загрузка файлов в произвольный каталог.
Решение
Установите последнюю версию приложения
5. Внедрение нулевого байта (NULL)
Уровень опасности: Средний
Воздействие: Внедрение нулевого байта
Вектор атаки: Удаленный
CVSS v2:
Base Score: 6.4
Vector: (AV:N/AC:L/Au:N/C:N/I:P/A:P)
CVE: CVE-2012-2969
Описание уязвимости
В процессе загрузки файлов возможно внедрение нулевого байта (NULL) в имя файла (путем подделки HTTP-запроса). В результате такого внедрения строка, следующая за нулевым байтом, будет отброшена. Данная уязвимость позволяет обойти ряд проверок.
Решение
Установите последнюю версию приложения
Статус уведомления
23.03.2012 - Производитель уведомлен
23.03.2012 - Производителю отправлены детали уязвимости
19.04.2012 - Детали уязвимости отправлены в CERT
13.07.2012 - Производитель выпустил исправление
31.08.2012 - Публикация уязвимости
Благодарности
Уязвимости обнаружил Сергей Щербель (Исследовательcкий центр Positive Research компании Positive Technologies)
Ссылки
http://www.securitylab.ru/lab/PT-2012-05
http://www.kb.cert.org/vuls/id/309979
Список отчетов о ранее обнаруженных уязвимостях Positive Research:
http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/
О Positive Technologies
Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности.
Основные направления деятельности компании - разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru.
Заказчиками Positive Technologies являются более 40 государственных учреждений, более 50 банков и финансовых структур, 20 телекоммуникационных компаний, более 40 промышленных предприятий, компании ИТ-индустрии, сервисные и ритейловые компании России, стран СНГ, Балтии, а также Великобритании, Германии, Голландии, Израиля, Ирана, Китая, Мексики, США, Таиланда, Турции, Эквадора, ЮАР, Японии.
Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, имеют профессиональные звания и сертификаты, являются членами международных организаций и активно участвуют в развитии отрасли.