Caldera 未授权访问漏洞
发表日期:2014-05-09 17:09:00
Caldera 未授权访问漏洞
BugTraq-ID:67254
CVE-ID:CVE-2014-2936
受影响系统:
Caldera Caldera 9.20
详细信息:
Caldera是RIP软件、色彩管理软件、工作流软件。
Caldera 9.20及更早版本的目录过滤器存在安全漏洞,可导致篡改全局变量作用域内的变量。下列脚本受到全局变量作用域注入攻击:
* /PPD/index.php
* /dirmng/docmd.php
* /dirmng/index.php
* /dirmng/param.php
来源:
Thomas Fischer
参考信息:
http://www.kb.cert.org/vuls/id/693092
测试方法:
警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!/dirmng/index.php?maindir_hotfolder=/var/www/caldera/html/
解决办法:
厂商补丁:
Caldera
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.caldera.com/support/
http://www.caldera.com/product/version-9-20/
http://www.caldera.com/product/options/costview/