Обход ограничений безопасности в FCGI

Дата публикации:
10.03.2012
Всего просмотров:
721
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
CVE ID:
CVE-2011-2766
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Раскрытие системных данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
FCGI 0.x (module for Perl)
Уязвимые версии: FCGI 0.7x версий до 0.74

Описание:
Уязвимость позволяет удаленному пользователю обойти ограничения безопасности на целевой системе.

Уязвимость существует из-за того, что CGI::Fast API некорректно перенастраивает переменные среды. Если первый запрос содержал пустую среду, удаленный пользователь может в последующем запросе раскрыть данные предыдущего запроса.

URL производителя: http://search.cpan.org/dist/FCGI/

Решение: Для устранения уязвимости установите продукт версии 0.74 с сайта производителя.

Ссылки: http://cpansearch.perl.org/src/FLORA/FCGI-0.74/ChangeLog
https://rt.cpan.org/Public/Bug/Display.html?id=68380
http://git.shadowcat.co.uk/gitweb/gitweb.cgi?p=catagits/fcgi2.git;a=commitdiff;h=297693dc8362d25bb25e473899c72508a0f71d2e

или введите имя

CAPTCHA