Множественные уязвимости в IPCop

Дата публикации:14.11.2005
Всего просмотров:2421
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2005-4659
CVE-2005-4660
CVE-2005-3258
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
Раскрытие важных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: IPCop 1.4.x
Уязвимые версии: IPCop версии до 1.4.10

Описание:
Уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании приложения и локальному пользователю получить доступ к потенциально важным данным.

1. Уязвимость в Squid может позволить удаленному атакующему вызвать отказ в обслуживании приложения. Подроблнее:
Отказ в обслуживании при обработке FTP запросов в Squid

2. Уязвимость существует из-за того, что программное обеспечение хранит ключ к зашифрованным резервным файлам во всем доступной директории "/var/ipcop/backup/". Локальный пользователь может просмотреть файлы или в качестве пользователя nobody перезаписать произвольные файлы на системе путем создания резервной копии файлов и их восстановления.

3. Выпущено исправление, также, для уязвимости состояния операции, когда локальный пользователь мог изменить содержимое файла, перед тем, как файл был зашифрован.

URL производителя: www.ipcop.org

Решение: Установите последнюю версию (1.4.10) с сайта производителя.

Источник:

Ссылки: ipcop: user "nobody" could spoof backups
ipcop: user "nobody" can write arbitrary files