Zranitelnosti Hrozby

English Russian Japanese LatAm Türkiye Brasil France Český Deutschland

Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

KLA10808
Vícenásobná chyba zabezpečení v aplikaci Subversion Apache

Aktualizováno: 05/13/2016
Detekováno
?
 05/05/2016
Míra zranitelnosti
?
 Varování
Popis

V Apache Subversion bylo nalezeno několik závažných chyb. Uživatelé se zlými úmysly mohou tyto chyby zabezpečení zneužít, aby způsobili odmítnutí služby nebo obejít bezpečnostní omezení.

Níže je uveden úplný seznam chyb zabezpečení

  1. Dereference s nulovým ukazatelem může být zneužitím ověřeným útočníkem způsobit odmítnutí služby prostřednictvím speciálně navržených požadavků MOVE nebo COPY;
  2. Nesprávná manipulace s názvy oblastí může být vzdáleně využívána speciálně navrženou autentizační žádostí o vynechání omezení autentizace.

Technické údaje

Chyba zabezpečení (1) týkající se modulu mod_authz_svn. Tuto chybu zabezpečení lze využít prostřednictvím speciálně navržených záhlaví. Úspěšný útok vyžaduje, aby byl na cílovém serveru ověřen škodlivý uživatel, ale není třeba mít přístup k úložištím na serveru.

Chyba zabezpečení (2) související s knihovnou autentizace Cyrus SASL. Chyba při manipulaci s názvem oblasti vede k situaci, kdy uživatel autentizovaný do oblasti realm, který je předponou dvou reálných názvů, bude autentizován i do reálné oblasti 2. (například uživatel "jrandom" v říši "foo" může úspěšně autentizovat do úložiště, jehož sféra je "foobar").

Pokyny k ověření, zda jste postiženi těmito zranitelnostmi, chyby zabezpečení nebo záplatami, které lze uplatnit, najdete na původních doporučeních uvedených v odpovídající části tohoto poradenství.

Zasažené produkty

Apache verze Subversions starší než 1.8.16
Apache Subversions verze 1.9 dříve než 1.9.4
Řešení

Aktualizace na nejnovější verzi
Apache Subversion download page

Oficiální doporučení

Apache advisory 2168
Apache advisory 2167
Dopad
?
SB 
[?]

DoS 
[?]
Související produkty
 Apache Subversion
CVE-IDS
?

CVE-2016-2168
CVE-2016-2167


Odkaz na originál
© 2021 AO Kaspersky Lab. All Rights Reserved.
Ochrana soukromí

Nahoru