Security Lab

Несколько уязвимостей в TIBCO SmartSockets

Дата публикации:21.01.2008
Всего просмотров:1251
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2007-5655
CVE-2007-5656
CVE-2007-5657
CVE-2007-5658
Вектор эксплуатации: Локальная сеть
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: TIBCO Enterprise Message Service 4.x
TIBCO SmartSockets 6.x
TIBCO SmartSockets Product Family (RTworks) 4.x
Уязвимые версии:
TIBCO Enterprise Message Service (EMS) версии 4.0.0 по 4.4.1
TIBCO SmartSockets версии до 6.8.1
TIBCO SmartSockets Product Family (RTworks) версии до 4.0.4

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки проверки входных данных при обработке запросов в RTserver компоненте, который использует значения в запросе в качестве указателей, смещения указателей или границ петли. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки проверки входных данных при обработке запросов в RTserver компоненте. Удаленный пользователь может с помощью специально сформированного запроса вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

URL производителя: www.tibco.com

Решение: Установите последнюю версию с сайта производителя:
TIBCO SmartSockets version 6.8.1 или выше
TIBCO RTworks version 4.0.4 или выше
TIBCO EMS version 4.4.2 или выше

Ссылки: iDefense Security Advisory 01.15.08: TIBCO SmartSockets RTserver Heap Overflow Vulnerability
iDefense Security Advisory 01.15.08: TIBCO SmartSockets RTServer Multiple Untrusted Pointer Vulnerabilities
iDefense Security Advisory 01.15.08: TIBCO SmartSockets RTserver Multiple Untrusted Pointer Offset Vulnerabilities
iDefense Security Advisory 01.15.08: TIBCO SmartSockets RTServer Multiple Untrusted Loop Bounds Vulnerabilities
TIBCO Security Advisories for SmartSockets, SmartSockets Product Family Modules (RTworks), Enterprise Message Service FAQ
TIBCO SmartSockets vulnerability
TIBCO SmartSockets Product Family (RTworks) vulnerability
TIBCO Enterprise Message Service vulnerability