В клиентской программе SETI@home обнаружена опасная уязвимость
| Дата публикации: | 08.04.2003 |
| Всего просмотров: | 2512 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | По сообщению SkyLined, в "скринсейвере" SETI@Home была обнаружена довольно серьёзная уязвимость, которая в теории позволяет злоумышленнику ставить компьютер, на котором работает SETI@home под контроль, и вдобавок организовывать DoS-атаки на основной сервер.
Во-первых, при установлении связи между клиентом и сервером SETI@home, клиент отправляет серверу данные о компьютере (в частности, о процессоре и операционной системе) в незашифрованном виде, так что выудить эти данные для хакера особой проблемы не составит. Во-вторых, предположительно все существующие версии клиента подвержены ошибке переполнения буфера, благодаря чему хакер может запустить на компьютере жертвы любой код. Ошибка переполнения буфера, очевидно, наличествовала и на основном сервере. Сейчас уже выпущено соответствующее обновление, которое можно скачать с основного сервера SETI@home. |
| Ссылки: | Seti@home information leakage and remote compromise |