InterSystems Cache和Ensemble CSP网关缓冲区溢出漏洞

漏洞起因
边界条件错误
 
影响系统
InterSystems Cache 2009.x
InterSystems Ensemble 2009.x
 
不受影响系统
 
危害
远程攻击者可以利用漏洞以应用程序权限执行任意指令。
 
攻击所需条件
攻击者必须访问InterSystems Cache和Ensemble CSP网关。
 
漏洞信息
InterSystems Cache是一种高性能的面向对象数据库,适合复杂的交易处理应用,如电子商务。InterSystems Ensemble是一款快速集成软件,支持应用开发商和医院、银行、企业的IT人员快速开发互连应用。
InterSystems Cache和Ensemble CSP网关在处理部分HTTP请求时存在边界错误,攻击者提交特殊构建的HTTP请求可触发缓冲区溢出和执行任意代码。
 
测试方法
http://www.metasploit.com/redmine/projects/framework/repository/revisions/7631/entry/modules/exploits/windows/http/intersystems_cache.rb
 
厂商解决方案
用户可联系供应商获得最新应用程序:
ftp://ftp.intersystems.com/pub/cache/patches/CSP_Gateway_Security_Alert.zip
 
漏洞提供者
MC

发表评论?

0 条评论。

发表评论