Выполнение произвольного кода в Novell ZENWorks Asset Management

Дата публикации:
08.12.2011
Дата изменения:
08.12.2011
Всего просмотров:
852
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:A/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:8.3/Temporal:6.1
CVE ID:
CVE-2011-2653
Вектор эксплуатации:
Локальная сеть
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Novell ZENWorks Asset Management 7.x
Уязвимые версии: Novell ZENWorks Asset Management 7.5 interim release IR 25, возможно другие версии

Описание:
Удаленный пользователь выполнить произвольный код на целевой системе.

Уязвимость существует из за ошибки при обработке имен файлов при выгрузке через rtrlet компонент. Удаленный пользователь может выгрузить вредоносные файлы в произвольную область памяти с помощью символьного обхода каталога и нулевых URL байтов в имени файла.

URL производителя: http://www.novell.com/products/zenworks/assetmanagement/overview.html

Решение: Для устранения уязвимости установите обновление SECURITY_Vulnerability_ZAM_7.5 с сайта производителя.

Ссылки: http://download.novell.com/Download?buildid=hPvHtXeNmCU~
http://www.zerodayinitiative.com/advisories/ZDI-11-342/

или введите имя

CAPTCHA