Security Lab

Раскрытие нажатых клавиш сеансу другого пользователя в Tarantella Enterprise

Дата публикации:17.06.2003
Всего просмотров:1086
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Локальная сеть
Воздействие: Раскрытие важных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Tarantella Enterprise 3.x
Описание: Уязвимость обнаружена в Tarantella Enterprise 3. Действие Keypress (нажатие кливиш) можно послать от клиента одного пользователя к эмулируемому сеансу другого пользователя.

Сообщается, что пользователь может управлять приложением другого целевого пользователя, что может привести к потере данных.

Уязвимость происходит, когда значение 'Maximum Users Per Engine' изменено с 1 (в установках по умолчанию) к более высокому значению.

Уязвимость обнаружена в Tarantella 3.3x, 3.2x, 3.1x, and 3.0x

Способов устранения обнаруженной уязвимости не существует в настоящее время. В качестве временного решения, администратор может установить значение 'Maximum Users Per Engine' к 1:

/opt/tarantella/bin/tarantella config edit --xpe-maxusers 1 --cpe-maxusers 1

Ссылки: Tarantella Security Bulletin #07