В мире технологий
08-06-2006 20:00
Sony Ericsson представила новую версию платформы Java
08-06-2006 20:00
Microsoft предлагает Adobe договориться
08-06-2006 20:00
Google избежала суда, подав встречный иск
05-06-2006 20:00
Из-за конфликта с Adobe Microsoft переделает Windows Vista и Office 2007
05-06-2006 20:00
Microsoft выпустит третью бета-версию Internet Explorer 7
05-06-2006 20:00
Во всемирной сети появился новый вариант Trojan.Encoder
05-06-2006 20:00
Американских игроков интернет-казино будут сажать на пять лет
05-06-2006 20:00
Вышла новая версия системы документооборота NauDoc 3.4
30-05-2006 20:00
Критическая уязвимость в PHPlist
30-05-2006 20:00
До выхода патча Microsoft рекомендует использовать Microsoft Word только в безопасном режиме
30-05-2006 20:00
В США Арестованы 500 организаторов крупнейшей в истории интернет пирамиды
30-05-2006 20:00
Прохождение директорий в BitZipper
21-05-2006 20:00
На Mail.ru появился игровой раздел
21-05-2006 20:00
В Microsoft Word найдена критическая брешь!
21-05-2006 20:00
Сенаторы предложили ещё один законопроект о нейтралитете Сети
21-05-2006 20:00
Microsoft обнародовала требования для запуска Windows Vista
21-05-2006 20:00
В истребителях F-35 будет использоваться Linux
17-05-2006 20:00
Sun анонсировала платформу Java EE 5
17-05-2006 20:00
ICANN одобрила введение доменной зоны .tel
16-05-2006 20:00
Ряд обновлений для Apple forMac OS X и QuickTime
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
Сообщение
30-05-2006 20:00
Автор: nikedeforest
Критическая уязвимость в PHPlist
В PHPlist (http://tincan.co.uk/phplist) обнаружена критическая уязвимость, которая способна позволить
удаленному злоумышленнику запускать произвольный код и нарушать безопасность системы.



Проблема кроется в отсутствии валидации/нормализации данных, получаемых через некоторые входные параметры. Это хорошо известная уязвимость, типичная для веб-приложений, и эксплуатируется, к примеру, путем SQL-инъекции в онлайновые формы.

В данном случае, уязвимыми параметрами являются "database_module" и "language_module". Если включена опция “register_globals" удаленный
пользователь может сконструировать URL для запуска произвольного кода на сервере, содержащем уязвимое приложение PHPlist.

По данным оригинального бюллетеня, уязвимость распространяется PHPlist версии 2.10.2 и более ранних.  До того, как станет доступна новая версия или официальная заплатка для исправления этой проблемы, пользователям рекомендуется отключить опцию "registers_globals"
или модифицировать код для правильной фильтрации уязвимых параметров.