Множественные уязвимости в ASG-Sentry Network Manager

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Уязвимость существует из-за того, что утилита "fcheck.exe" перезаписывает произвольные файлы, указанные через опцию "-b" в HTTP запросе. Удаленный пользователь может с помощью специально сформированного HTTP запроса скомпрометировать целевую систему. Пример:

http://host:6161/snmx-cgi/fcheck.exe?-b+..\../..\boot.ini
http://host:6161/snmx-cgi/fcheck.exe?-b+c:\windows\win.ini
http://host:6161/snmx-cgi/fcheck.exe?-b+c:\file.txt+c:\
http://host:6161/snmx-cgi/fcheck.exe?-b+\host\document.txt

2. Уязвимость существует из-за ошибки проверки границ данных в процессе "FxAgent". Удаленный пользователь может с помощью специально сформированного SNMP запроса, содержащего слишком длинную строку «community», вызвать переполнение динамической памяти и скомпрометировать целевую систему.

3. Уязвимость существует из-за отсутствия аутентификации для команд, отправленных службе "FxIAList". Удаленный пользователь может отправить команду "exit" на порт 6162/TCP и остановить службу.

4. Уязвимость существует из-за ошибки проверки границ данных в службе "FxIAList". Удаленный пользователь может отправить специально сформированный пакет а порт 6162/TCP, вызвать переполнение стека и выполнить произвольный код на целевой системе.

URL производителя: www.asg-sentry.com/Products/sme.html

Решение: Способов устранения уязвимости не существует в настоящее время.