Security Lab

SQL-инъекция в GNU Mailutils

Дата публикации:08.06.2005
Всего просмотров:1076
Опасность:
Средняя
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Неавторизованное изменение данных
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: GNU Mailutils 0.x
Уязвимые версии: GNU Mailutils 0.6.90

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует в функции sql_escape_string() файла /auth/sql.c при обработке символа "\". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

URL производителя: www.gnu.org/software/mailutils/mailutils.html

Решение: Установите новую версию с сайта производителя.
http://savannah.gnu.org/cvs/?group=mailutils