Удаленное выполнение произвольного кода в Citadel/UX

Дата публикации:
20.07.2003
Всего просмотров:
809
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Citadel/UX 6.x
Описание:

Несколько уязвимостей обнаружено в Citadel/UX. Удаленный авторизованный пользователь может выполнить произвольный код или получить поднятые привилегии на системе.

Система использует предсказуемые числа для использования их в опознавательных мандатах. В качестве значения 'internal program secret' (IPS) используется предсказуемые ID процессов. В результате, пользователь может определить несколько возможных IPS значений и используя эти значения получить поднятые привилегии на системе. 

Также сообщается, что программа не выполняет проверки границ на некоторых переменных, позволяя удаленному авторизованному пользователю переполнить буфер и перезаписать EIP регистр произвольным значением. В результате удаленный авторизованный пользователь может выполнить произвольный код на системе. Эксплоит прилагается.

Уязвимость обнаружена в Citadel/UX 6.07

Для устранения уязвимости, установите обновленную версию программы, которую можно скачать отсюда:

http://uncensored.citadel.org/pub/citadel/citadel-ux-6.08.tar.gz



Ссылки: Эксплоит
Multiple vulnerabilities in Citadel/UX
или введите имя

CAPTCHA