Security Lab

Обход ограничений в ignitionServer

Дата публикации:20.05.2005
Всего просмотров:1007
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2005-1640
CVE-2005-1641
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: ignitionServer 0.1.x
ignitionServer 0.2.x
ignitionServer 0.3.x
Уязвимые версии: ignitionServer 0.3.0 - 0.3.6

Описание:
Уязвимость позволяет удаленному пользователю удалить определенные правила доступа и запретить операторам доступ к каналам.

Уязвимость обнаружена в функции m_access() файла 'codemodules/mod_channel.bas' из-за отсутствия проверки на наличие прав доступа. Удаленный пользователь может удалить правила. Пример:

[Owner]-> ACCESS #MyChan ADD VOICE *!*@* 0 :Voice everybody
[Host] -> ACCESS #MyChan DELETE VOICE *!*@*

Уязвимость в функции m_join() файла 'mod_channel' позволяет злоумышленнику установить ключ для канала и таким образом запретить IRC оператору доступ к каналу.

URL производителей: http://www.ignition-project.com

Решение: Установите исправление (0.3.6-P1) от производителя.

Ссылки: Security Bulletin: Hosts can delete access entries added by owners