Уязвимость форматной строки в Clearsilver

Дата публикации:
12.12.2011
Дата изменения:
12.12.2011
Всего просмотров:
1259
Опасность:
Средняя
Наличие исправления:
Инстуркции по устранению
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:W/RC:C) = Base:9.3/Temporal:7.5
CVE ID:
CVE-2011-4357
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Clearsilver 0.x
Уязвимые версии: Clearsilver 0.10.5 и более ранние версии.

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки форматной строки в функции p_cgi_error() в файле python/neo_cgi.c (модуль Python CGI Kit (neo_cgi) к Clearsilver). Удаленный пользователь может с помощью специально сформированного запроса передать символы форматной строки методу "error()" в контексте CGI обработчика и раскрыть или повредить данные в памяти.

URL производителя: www.clearsilver.net

Решение: Установите исправление из SVN рпозитория производителя.

Ссылки: http://www.openwall.com/lists/oss-security/2011/11/27/1
http://www.debian.org/security/2011/dsa-2355
http://tech.groups.yahoo.com/group/ClearSilver/message/1422
http://code.google.com/p/clearsilver/source/detail?r=919

или введите имя

CAPTCHA