Небезопасные разрешения на доступ к директориям в newsgrab

Дата публикации:04.02.2005
Всего просмотров:828
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Повышение привилегий
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: newsgrab 0.x
Уязвимые версии: newsgrab версии до 0.5.0pre4

Описание:
Обнаружено две уязвимости в newsgrab, которые позволяют просмотреть, перезаписать и создать файлы на уязвимой системе.

1. Уязвимость существует в файле 'newsgrab.pl', который назначает права на чтение всем в «исходящей» директории.

2. Программное обеспечение некорректно обрабатывает имена файлов, получаемых с сервера. Удаленный пользователь может создать новость со специально сформированным именем файла, содержащим символы обхода каталога (../) и записать этот файл в произвольный каталог на целевой системе пользователя с его привилегиями.

URL производителя: http://newsgrab.sourceforge.net

Решение: Установите обновление
http://sourceforge.net/project/showfiles.php?group_id=52048

Ссылки: newsgrab Has Unsafe Directory Permissions and Lets Remote Users Cause Files to Be Saved to Alternate Locations