Множественные уязвимости в Sourcefire Defense Center b Sourcefire 3D Sensor

Дата публикации:
05.04.2012
Дата изменения:
05.04.2012
Всего просмотров:
1067
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
4
CVSSv2 рейтинг:
(AV:A/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:3.3/Temporal:2.4
(AV:A/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:3.3/Temporal:2.4
(AV:A/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:3.3/Temporal:2.4
(AV:A/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:2.9/Temporal:2.1
CVE ID:
Нет данных
Вектор эксплуатации:
Локальная сеть
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Sourcefire 3D Sensor
Sourcefire Defense Center
Уязвимые версии: Sourcefire Defense Center версии до 4.9.1.9, 4.10.2.3, и 5.0.1.1 Sourcefire 3D Sensor версии до 4.9.1.9, 4.10.2.3, и 5.0.1.1

Описание:
Уязвимость позволяет локальному пользователю получить доступ к важным данным на системе.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "file" в сценарии ComparisonViewer/report.cgi. Локальный пользователь может с помощью специально сформированного запроса, содержащего символы обхода каталога, просмотреть содержимое произвольных файлов на системе.

2. Уязвимость существует из-за того, что приложение не ограничивает доступ к определенным файлам в корневом web-узле. Локальный пользователь может загрузить и раскрыть содержимое файлов конфигурации.

3. Уязвимость существует из-за того, что приложение неправильно ограничивает доступ к базе данных для RUA agents. Локальный пользователь может получить доступ к базе данных.

Примечание: Уязвимость не распространяется на ветку 4.9.x.

4. Уязвимость существует из-за недостаточной обработки входных данных в приборной панели при переименовании новых вкладок. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: http://www.sourcefire.com/security-technologies/network-security/virtual-security

Решение: Установите последнюю версию 4.9.1.9, 4.10.2.3 или 5.0.1.1 с сайта производителя.

Ссылки: http://archives.neohapsis.com/archives/bugtraq/2012-04/0030.html

или введите имя

CAPTCHA