Security Lab

Несколько уязвимостей в Xerox Document Centre в безопасности MicroServer Web сервере

Дата публикации:19.08.2005
Всего просмотров:1365
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2005-2645
CVE-2005-2647
CVE-2005-2646
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Отказ в обслуживании
Раскрытие важных данных
Раскрытие системных данных
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Xerox Document Centre
Уязвимые версии: Xerox Document Centre 220, 230, 240, 255, 265, 332, 340, 420, 425, 426, 430, 432, 440, 460, 470, 480, 490, 535, 545, 555.

Описание: Удаленный пользователь может обойти авторизацию, получить доступ к файлам на целевой системе, вызвать отказ в обслуживании и выполнить XSS нападение.

Удаленный пользователь может послать специально сформированный HTTP запрос, чтобы вызвать условия отказа в обслуживании на целевой системе.

Удаленный пользователь может создать специально сформированный URL, чтобы выполнить произвольный код сценария в браузере целевого пользователя в контексте безопасности MicroServer Web сервера, на котором работает Document Centre. Используя перехваченные куки можно выполнять любые действия от имени целевого пользователя.

URL производителя: http://www.xerox.com/downloads/usa/en/c/cert_XRX05_008.pdf

Решение:Установите соответствующее обновление:

http://www.xerox.com/downloads/usa/en/c/cert_P24_MicroServer_Web_Server_Patch.zip

http://www.xerox.com/downloads/usa/en/c/cert_P25_MicroServer_Web_Server_Patch.zip

Ссылки: http://www.xerox.com/downloads/usa/en/c/cert_XRX05_008.pdf