OM CERT-SE
WEBBKARTA
Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
Hem Sårbarheter Sårbarhetskungörelser SA07-002 - Injicering av SQL-kommandon i Walda

Nyheter

CERT-SE:s veckobrev v.5
I veckan kunde vi bland annat läsa om svagheter i FileVault, sårbarheter i ett antal smarta mobiltelefoner från HTC samt att botnätet Kelihos/Hlux är på krigsstigen igen.
2012-02-03 14:08
SR12-023 PHP - Sårbarhet i PHP version 5.3.9
En sårbarhet som kan medge godtycklig kodexekvering har identifierats i PHP 5.3.9 och rättats i version 5.3.10.
2012-02-03 10:39
SR12-022 Apache - Sårbarheter rättade i Apache HTTP-server
Apache har släppt version 2.2.22 av sin HTTP-server och rättar ett antal sårbarheter i produkten.
2012-02-03 09:55
SR12-021 Apple - Ett flertal sårbarheter i OS X
Apple har släppt APPLE-SA-2012-02-01-1 och rättar ett flertal sårbarheter i OS X.
2012-02-02 14:47
SR12-020 Mozilla - Sårbarheter i Firefox, Thunderbird och SeaMonkey
Mozilla har släppt uppdateringar som rättar ett antal sårbarheter i Firefox, Thunderbird och SeaMonkey.
2012-02-01 11:26
SR12-019 VMware - Uppdateringar till ESXi och ESX
VMware har släppt en bulletin innehållande säkerhetsuppdateringar till tredjepartsprogram för ESXi / ESX och ESX Service Console: VMSA-2012-0001.
2012-02-01 10:26
SR12-018 HP - Sårbarhet i HP Network Automation
Sårbarheten kan utnyttjas av en extern icke-autentiserad användare för att ta kontroll över ett sårbart system. Uppdateringar finns tillgängliga.
2012-01-31 19:51
SR12-017 FFmpeg - Ett flertal sårbarheter i FFmpeg
Ett flertal sårbarheter har identifierats i programbiblioteket FFmpeg. Sårbarheterna kan utnyttjas i tillgänglighetsattacker samt potentiellt för att exekvera godtycklig kod.
2012-01-30 16:40
Ny "single-block collision"-attack mot MD5
Säkerhetsforskaren Marc Stevens har publicerat en forskningsrapport i vilken han redogör för ett nytt sätt att attackera den kryptografiska hashfunktionen MD5.
2012-01-30 15:04
Prenumerera på RSS/Atom
Mer...

SA07-002 - Injicering av SQL-kommandon i Walda

SITIC sårbarhetskungörelse

Beteckning: Injicering av SQL-kommandon i Walda
Kungörelsereferens: SA07-002
Datum för första utgåva: 2007-03-05
Produkt: Walda
Plattform: Windows
Verkan: Fjärran kodexekvering
Sårbarhetsidentifierare: -

Sammanfattning:
Argentums specialsystem Walda, har inte kontrollerat all indata till underliggande databasfrågor. Detta skulle kunna leda till att SQL-kommandon kan exekveras på databasen.

Detaljer:
Genom att manipulera parametrar som används som indata till databasfrågor, skulle en angripare kunna utnyttja denna säkerhetsbrist för att exekvera godtyckliga SQL-kommandon på ett sårbart system.

Förmildrande faktorer:
Om någon programvara som filtrerar bort specialtecken innan de hanteras av webbservern finns installerad, kommer denna attack troligtvis inte att fungera.

Påverkade versioner:
Kontakta Argentums supportorganisation, booking@argentum.se för mer information.

Rekommendationer:
Argentum har presenterat en programrättning som bör installeras omedelbart.

Programrättning:
Det har utgått ett e-postmeddelande till alla Argentums kunder som använder Walda med information om hur säkerhetsuppdatering kan laddas ned. Kontakta Argentums supportorganisation, booking@argentum.se för mer information.

Erkännande:
Dessa sårbarheter har identifieras av Jon Jezierski och Daniel Minnelid från Defensor.

Kontaktinformation:
Sveriges IT-incidentcentrum, SITIC
Box 5398, 102 49 Stockholm
Telefon: 08 678 5799
E-post: sitic snabel-a pts punkt se
http://www.sitic.se
Revisionshistorik:
Första utgåva 2007-03-05

Om Sitic:
Sitics uppgift är att stödja samhället i arbetet med skydd mot IT-incidenter. Sitic ska främja informationsutbytet om IT-incidenter mellan samhällets organisationer och ska sprida information om nya problem som kan störa IT-system. Sitic lämnar också information och råd om förebyggande åtgärder samt sammanställer och ger ut statistik.

Villkor:
Beslutet att agera på grundval av information eller råd i denna sårbarhetskungörelse är den enskilda användarens eller organisationens eget ansvar. Sitic tar inte på sig något ansvar för eventuella fel eller brister i denna sårbarhetskungörelse, inte heller för konsekvenser som kan följa på åtgärder grundade på information eller råd i kungörelsen.



Uppdaterad 2009-06-26 12:55 | Publicerad 2006-03-06 17:38
CERT-SE
Telefon: 08-678 57 99
E-post: cert@cert.se - PGP-nyckel
Om cookies
[FiRST][TI]