Уязвимость BDU:2015-10406

Дата: 31.08.2009. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2015-10406.

Наименование уязвимости: Уязвимость программного пакета Internet Informatiom Services, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код.

Описание уязвимости: Программный пакет Internet Informatiom Services содержит уязвимость в модуле ftpsvc2.dll, расположенном в каталоге C:Windowssystem32inetsrv, которая позволяет нарушителю вызвать переполнение стекового буфера в функции, которая преобразовывает путь к каталогу (отдельно обрабатывая вхождения метасимволов) в конечный вид. Эта функция вызывается из функции-обработчика команды NLIST, выдающей содержимое каталога, путь к которому ей передан. Используя имя родительского каталога (обозначается как «..») и метасимвол «*», можно добиться удвоения результирующего пути к каталогу и переполнения стекового буфера ограниченного размера (260 байт), что может привести к отказу в обслуживании либо выполнению произвольного кода
Уязвимое ПО: Прикладное ПО информационных систем Microsoft Corp. Microsoft Internet Information Services 5.1 | ПО программно-аппаратного средства АСУ ТП ICP DAS Co. Ltd. XP-8741-Atom XP-8741 |

Наименование ОС и тип аппаратной платформы: Windows 64-bit | Windows 32-bit |
Дата выявления: 31.08.2009.
CVSS 2.0: AV:N/AC:M/Au:S/C:N/I:N/A:P
Уровень опасности уязвимости: Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,5)

Возможные меры по устранению:
Установка обновления Microsoft Windows KB975254, доступного по адресу:
http://support.microsoft.com/kb/975254/ru
.
Статус уязвимости: Подтверждена в ходе исследований
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2009-3023. OSVDB ID:57589.
Прочая информация: Для использования данной уязвимости необходима авторизация с достаточными для создания каталогов правами
Тип ошибки CWE: CWE-119
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3023

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

ФСТЭК России

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *