Уязвимость BDU:2015-10407

Дата: 04.09.2009. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2015-10407.

Наименование уязвимости: Уязвимость программного пакета Internet Informatiom Services, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Программный пакет Internet Informatiom Services содержит уязвимость в модуле ftpsvc2.dll, расположенном в каталоге C:Windowssystem32inetsrv, использование которой вызывает исчерпание стека при обработке специального аргумента команды LIST. Это происходит из-за рекурсивной функции SimulateLsWorker, ошибка в которой делает рекурсию бесконечной. Уязвимость приводит к аварийному завершению процесса, обрабатывающего пользовательский запрос
Уязвимое ПО: Прикладное ПО информационных систем Microsoft Corp. Microsoft Internet Information Services 5.0 | Прикладное ПО информационных систем Microsoft Corp. Microsoft Internet Information Services 6.0 | Прикладное ПО информационных систем Microsoft Corp. Microsoft Internet Information Services 7.0 | ПО программно-аппаратного средства АСУ ТП ICP DAS Co. Ltd. XP-8741-Atom XP-8741 |

Наименование ОС и тип аппаратной платформы: Windows 64-bit | Windows 32-bit |
Дата выявления: 04.09.2009.
CVSS 2.0: AV:N/AC:H/Au:N/C:N/I:N/A:P
Уровень опасности уязвимости: Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6)

Возможные меры по устранению:
Установка обновления Microsoft Windows KB975254, доступного по адресу:
http://support.microsoft.com/kb/975254/ru
.
Статус уязвимости: Подтверждена в ходе исследований
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2009-2521. OSVDB ID:57753.
Прочая информация: Для использования данной уязвимости необходима авторизация под пользователем, в корневом каталоге которого имеются какие-либо каталоги (или должна быть возможность создать какой-нибудь каталог)
Тип ошибки CWE: CWE-399
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2521

ФСТЭК России

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *