U radu programskog paketa Cherokee, za operacijske sustave Fedora 14 i 15, uočena su dva sigurnosna propusta. Lokalnom napadaču omogućuju otkrivanje zaporke, pokretanje proizvoljnih naredbi te izvođenje XSS napada.
Paket:
cherokee 1.x
Operacijski sustavi:
Fedora 14, Fedora 15
Problem:
CSRF, pogreška u programskoj komponenti, XSS
Iskorištavanje:
lokalno
Posljedica:
otkrivanje osjetljivih informacija, pokretanje proizvoljnih naredbi, umetanje HTML i skriptnog koda
Rješenje:
programska zakrpa proizvođača
CVE:
CVE-2011-2190, CVE-2011-2191
Izvorni ID preporuke:
FEDORA-2011-12687
Izvor:
Fedora
Problem:
Propusti su posljedica pogreške u administrativnom sučelju te CSRF ranjivosti.
Posljedica:
Napadač ih može iskoristiti za otkrivanje zaporke, izvođenje XSS napada i pokretanje proizvoljnih naredbi.
--------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2011-12687
2011-09-14 21:55:09
--------------------------------------------------------------------------------
Name : cherokee
Product : Fedora 14
Version : 1.2.99
Release : 1.fc14
URL : http://www.cherokee-project.com/
Summary : Flexible and Fast Webserver
Description :
Cherokee is a very fast, flexible and easy to configure Web Server. It supports
the widespread technologies nowadays: FastCGI, SCGI, PHP, CGI, TLS and SSL
encrypted connections, Virtual hosts, Authentication, on the fly encoding,
Apache compatible log files, and much more.
--------------------------------------------------------------------------------
Update Information:
Latest 1.2.x upstream release and bugzilla resolving
--------------------------------------------------------------------------------
ChangeLog:
* Sat Sep 10 2011 Pavel LisÄ
Posljednje sigurnosne preporuke