漏洞起因
边界条件错误
影响系统
InterSystems Cache 2009.x
InterSystems Ensemble 2009.x
不受影响系统
危害
远程攻击者可以利用漏洞以应用程序权限执行任意指令。
攻击所需条件
攻击者必须访问InterSystems Cache和Ensemble CSP网关。
漏洞信息
InterSystems Cache是一种高性能的面向对象数据库,适合复杂的交易处理应用,如电子商务。InterSystems Ensemble是一款快速集成软件,支持应用开发商和医院、银行、企业的IT人员快速开发互连应用。
InterSystems Cache和Ensemble CSP网关在处理部分HTTP请求时存在边界错误,攻击者提交特殊构建的HTTP请求可触发缓冲区溢出和执行任意代码。
测试方法
http://www.metasploit.com/redmine/projects/framework/repository/revisions/7631/entry/modules/exploits/windows/http/intersystems_cache.rb
厂商解决方案
用户可联系供应商获得最新应用程序:
ftp://ftp.intersystems.com/pub/cache/patches/CSP_Gateway_Security_Alert.zip
漏洞提供者
MC
0 条评论。