Дата публикации: | 09.04.2010 |
Всего просмотров: | 1735 |
Опасность: | Низкая |
Наличие исправления: | Да |
Количество уязвимостей: | 4 |
CVSSv2 рейтинг: | 7.1 (AV:N/AC:M/Au:N/C:N/I:N/A:C/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 7.8 (AV:N/AC:L/Au:N/C:C/I:N/A:N/E:U/RL:O/RC:C) 8.5 (AV:N/AC:L/Au:N/C:C/I:P/A:N/E:U/RL:O/RC:C) |
CVE ID: | Нет данных |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Отказ в обслуживании Раскрытие важных данных Раскрытие системных данных Повышение привилегий |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | McAfee Email Gateway (ранее IronMail) 6.x |
Уязвимые версии: McAfee Email Gateway версии до 6.7.2 Hotfix 2
Описание: 1. Уязвимость существует из-за ошибки при обработке CLI (Command Line Interface) команд. Злоумышленник может потребить все ресурсы системы. 2. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "queueMsgType" и "QtnType" в сценарии admin/queuedMessage.do. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 3. Уязвимость существует из-за недостаточного ограничения доступа к файлам, содержащим конфиденциальную информацию. Удаленный пользователь может с помощью CLI команд получить доступ к именам пользователей и учетным данным для подключения к базе данных. 4. Уязвимость существует из-за ошибки при обработке переменных окружения. Злоумышленник может получить административные привилегии посредством CLI. URL производителя: www.mcafee.com/us/enterprise/products/email_and_web_security/email/email_gateway.html Решение: Установите последнюю версию 6.7.2 Hotfix 2 с сайта производителя. |
|
Ссылки: |
https://kc.mcafee.com/corporate/index?page=content&id=SB10008 http://www.cybsec.com/vuln/cybsec_advisory_2010_0401_Ironmail_advisory_Possible_DoS.pdf http://www.cybsec.com/vuln/cybsec_advisory_2010_0402_Ironmail_Advisory_Multiple_Cross_Site_Scripting.pdf http://www.cybsec.com/vuln/cybsec_advisory_2010_0403_Ironmail_Advisory_Internal_Information_Disclosure.pdf http://www.cybsec.com/vuln/cybsec_advisory_2010_0404_Ironmail_Advisory_Appliance_CLI_Privilege_Escalation.pdf |