Множественные уязвимости в IPCop

Дата публикации:
14.11.2005
Всего просмотров:
2173
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2005-4659
CVE-2005-4660
CVE-2005-3258
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
IPCop 1.4.x
Уязвимые версии: IPCop версии до 1.4.10

Описание:
Уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании приложения и локальному пользователю получить доступ к потенциально важным данным.

1. Уязвимость в Squid может позволить удаленному атакующему вызвать отказ в обслуживании приложения. Подроблнее:
Отказ в обслуживании при обработке FTP запросов в Squid

2. Уязвимость существует из-за того, что программное обеспечение хранит ключ к зашифрованным резервным файлам во всем доступной директории "/var/ipcop/backup/". Локальный пользователь может просмотреть файлы или в качестве пользователя nobody перезаписать произвольные файлы на системе путем создания резервной копии файлов и их восстановления.

3. Выпущено исправление, также, для уязвимости состояния операции, когда локальный пользователь мог изменить содержимое файла, перед тем, как файл был зашифрован.

URL производителя: www.ipcop.org

Решение: Установите последнюю версию (1.4.10) с сайта производителя.

Источник:

Ссылки: ipcop: user "nobody" could spoof backups
ipcop: user "nobody" can write arbitrary files

или введите имя

CAPTCHA