Уязвимость BDU:2015-10516

Дата: 26.06.2015. Автор: CISO CLUB. Категории: Уязвимости

Идентификатор: BDU:2015-10516.

Наименование уязвимости: Уязвимость функции cgi_puts сервера печати CUPS, позволяющая нарушителю внедрить произвольный JavaScript- или HTML-код в формируемые страницы веб-интерфейса.

Описание уязвимости: Уязвимость в функции cgi_puts (cgi-bin/template.c) сервера печати CUPS, связана с недостаточной защитой структуры веб-страниц. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, внедрить произвольный JavaScript- или HTML-код в в формируемые страницы веб-интерфейса через параметр QUERY, передаваемый веб-страницам разделов help, classes, printers и jobs

Уязвимое ПО: Сетевое программное средство Apple Inc. Common Unix Printing System до 2.0.3 |

Наименование ОС и тип аппаратной платформы: Linux 64-bit | Linux 32-bit | Mac OS X 32-bit | Windows 64-bit | Windows 32-bit | Mac OS X 64-bit |

Дата выявления: 26.06.2015.

CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:P/A:N

Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)

Возможные меры по устранению:
Использование рекомендаций производителя:
http://www.cups.org/blog.php?L1082
.

Статус уязвимости: Подтверждена производителем

Наличие эксплойта: Существует в открытом доступе

Информация об устранении: Уязвимость устранена

Идентификаторы других систем описаний уязвимости: CVE-2015-1159.

Прочая информация:

Тип ошибки CWE: CWE-79

Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://googleprojectzero.blogspot.in/2015/06/owning-internet-printing-case-study-in.html
http://www.cups.org/blog.php?L1082
https://bugzilla.opensuse.org/show_bug.cgi?id=924208
https://bugzilla.redhat.com/show_bug.cgi?id=1221642
https://code.google.com/p/google-security-research/issues/detail?id=455
https://www.cups.org/str.php?L4609
http://www.kb.cert.org/vuls/id/810572

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

CISO CLUB

Об авторе CISO CLUB

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO CLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *