PT-2013-01: Внедрение XML External Entity в GNOME

(PT-2013-01) Positive Technologies Security Advisory
Внедрение XML External Entity в GNOME

Уязвимое ПО

GNOME
Версия 3.8.1 и более ранняя

Ссылка: 
http://www.gnome.org

Рейтинг опасности

Уровень опасности: Средний
Воздействие: Доступ к внутренним ресурсам сети, доступ к файловой системе
Вектор атаки: Локальный

CVSS v2:
Base Score: 6.6
Vector: (AV:L/AC:L/Au:N/C:C/I:N/A:C)

CVE: отсутствует

Описание программы

GNOME - свободная среда рабочего стола для Unix-подобных операционных систем

Описание уязвимости

Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость доступа к локальным ресурсам (файлам и внутренним ресурсам сети) через XML External Entity в GNOME.
Злоумышленник может передать пользователю специально сформированный файл, при просмотре каталога, который содержит этот файл, или при открытии данного файла, librsvg отошлет содержимое локального ресурса на сервер злоумышленника.

Решение

Установите последнюю версию приложения.

Статус уведомления

14.01.2013 - Производителю отправлены детали уязвимости
16.05.2013 - Производитель выпустил исправление
20.06.2013 - Публикация уязвимости

Благодарности

Уязвимость обнаружили Тимур Юнусов и Алексей Осипов (Исследовательcкий центр Positive Research компании Positive Technologies)


Ссылки

http://www.securitylab.ru/lab/PT-2013-01

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/

О Positive Technologies

Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности. 
Основные направления деятельности компании - разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru.

Заказчиками Positive Technologies являются более 40 государственных учреждений, более 50 банков и финансовых структур, 20 телекоммуникационных компаний, более 40 промышленных предприятий, компании ИТ-индустрии, сервисные и ритейловые компании России, стран СНГ, Балтии, а также Великобритании, Германии, Голландии, Израиля, Ирана, Китая, Мексики, США, Таиланда, Турции, Эквадора, ЮАР, Японии.

Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, имеют профессиональные звания и сертификаты, являются членами международных организаций и активно участвуют в развитии отрасли.