Поднятие локальных привилегий и удаленное выполнение произвольного кода в Cyrus SASL

Дата публикации:
10.10.2004
Всего просмотров:
1321
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2004-0884
CVE-2005-0373
Вектор эксплуатации:
Удаленная
Воздействие:
Повышение привилегий
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Cyrus SASL Library 2.x
Cyrus SASL Library 1.x
Уязвимые версии: Cyrus SASL 2.1.9 и более ранние версии

Описание: Две уязвимости обнаружены в Cyrus SASL. Локальный пользователь может получить поднятые привилегии на целевой системе. Удаленный пользователь может выполнить произвольный код на целевой системе.

Локальный пользователь может изменить SASL_PATH переменную среды, чтобы заставить привилегированное приложение загрузить альтернативную библиотеку из произвольного каталога, и в результате выполнить произвольный код. [CVE: CAN-2004-0884].

Также сообщается о переполнении буфера в 'digestmda5.c'. Удаленный пользователь может выполнить произвольный код на целевой системе.

URL производителя: http://asg.web.cmu.edu/sasl/

Решение:Установите обновление: https://bugzilla.andrew.cmu.edu/cgi-bin/cvsweb.cgi/src/sasl/lib/common.c.diff?r1=1.103&r2=1.104

Ссылки: [none]

или введите имя

CAPTCHA