Несколько уязвимостей в Symantec Backup Exec Calendar ActiveX компоненте
| Дата публикации: | 29.02.2008 |
| Дата изменения: | 03.03.2008 |
| Всего просмотров: | 2267 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2007-6016 CVE-2007-6017 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Неавторизованное изменение данных Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Symantec Backup Exec for Windows Servers 11.x
Symantec Backup Exec for Windows Servers 12.x |
| Уязвимые версии: Symantec Backup Exec for Windows Server 11d, 12.0
Описание: 1. Два переполнения буфера обнаружены в PVATLCalendar.PVCalendar.1 (pvcalendar.ocx) ActiveX компоненте при обработке строк, передаваемых различным свойствам ("_DOWText0" в "_DOWText6", "_MonthText0" в "_MonthText11"). Удаленный пользователь может с помощью специально сформированного Web сайта передать слишком длинные строки уязвимым свойствам и, затем, вызвать метод "Save()". Удачная эксплуатация уязвимости позволит злоумышленнику вызвать переполнении стека и выполнить произвольный код на целевой систем. 2. Уязвимость существует из-за того, что PVATLCalendar.PVCalendar.1 (pvcalendar.ocx) ActiveX компонент использует небезопасный метод "Save()". Удаленный пользователь может с помощью специально сформированного Web сайта перезаписать и повредить произвольные файлы на системе или записать злонамеренный сценарий в произвольную директорию на системе. URL производителя: www.symantec.com/business/products/family.jsp?familyid=backupexec Решение: Установите исправление с сайта производителя. Журнал изменений:
29.02.2008 |
|
| Ссылки: |
SYM08-007: Multiple Vulnerabilities in Scheduler component for NetBackup Server/Enterprise Server on all supported Windows Platforms Symantec BackupExec Calendar Control (PVCalendar.ocx) BoF Exploit Secunia Research: Symantec Backup Exec Calendar Control Multiple Vulnerabilities |