Отказ в обслуживании в Symantec LiveUpdate
| Дата публикации: | 08.11.2004 |
| Всего просмотров: | 1941 |
| Опасность: | Низкая |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Уязвимые версии: Symantec LiveUpdate 1.80.19.0, 2.5.56.0
Описание: Уязвимость существует из-за того, что Symantec LiveUpdate не проверяет размер несжатого файла перед распаковкой скачанного zip архива и некорректно обрабатывает имена директорий перед созданием их на целевой системе. Пользователь может перезаписать скачанный архив или подделать сайт Symantec, чтобы вызвать отказ в обслуживании с помощью специально сформированного архива, содержащего очень длинный файл. Также, удаленный атакующий может создать произвольную директорию на целевой системе с помощью символов перехода между каталогами (‘..’). URL производителя: www.symantec.com Решение: Решение на данный момент не существует. |
|
| Ссылки: | Symantec LiveUpdate Zip Decompression Routine May Let Users Deny Service |