Security Lab

Выполнение произвольного кода в BadBlue HTTP сервере

Дата публикации:01.03.2005
Всего просмотров:985
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: BadBlue 2.55

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на уязвимой системе.

Уязвимость существует при обработке HTTP запросов в библиотеке 'ext.dll'. Удаленный пользователь может указать в качестве значения параметра mfcisapicommand строку длиной более 250 символов и вызвать переполнение буфера. Удачная эксплуатация уязвимости позволит злоумышленнику выполнить произвольный код на уязвимой системе. Пример:

GET /ext.dll?mfcisapicommand=AAA... [250 chars]...AAA&page=index.htx

URL производителя: http://www.badblue.com

Решение: Установите обновления с сайта производителя.

Ссылки: Badblue HTTP Server ext.dll buffer overflow
Badblue 2.55 Web Server remote buffer overflow (Exploit)