Множественные уязвимости в Zend Platform

Дата публикации:
28.08.2006
Дата изменения:
17.10.2006
Всего просмотров:
1786
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2006-4431
CVE-2006-4432
CVE-2006-4433
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Zend Platform 2.x
Уязвимые версии: Zend Platform 2.2.1, возможно более ранние версии.

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании, получить доступ к важным данным, обойти некоторые ограничения безопасности и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки проверки границ данных в ZendSession Manager Daemon при обработке сессий. Удаленный пользователь может аварийно завершить работу приложения, отправив слишком длинный или нулевой длины идентификатор сессии.

2. Уязвимость существует из-за ошибки проверки границ данных в модуле mod_cluster при обработке сессий. Удаленный пользователь может аварийно завершить работу приложения, отправив слишком длинный или нулевой длины идентификатор сессии. Удачная эксплуатация уязвимости позволит злоумышленнику выполнит произвольный код на целевой системе.

3. Уязвимость существует в ZendSession Manager при обработке сессионных файлов. Злоумышленник может создать и просмотреть произвольные файлы сессий на целевой системе с привилегиями приложения.

URL производителя: www.zend.com/products/zend_platform

Решение: Установите последнюю версию (2.2.1a) с сайта производителя.

Ссылки: Advisory 05/2006: Zend Platform Multiple Remote Vulnerabilities

или введите имя

CAPTCHA