Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Mod_survey survey manipulation

21/01/2007 06H41
Référence Secunia : SA8474 
Date de publication : 2003-04-01

Risque : Non Critique. Niveau 1 sur 5.
Impact : Manipulation de données
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Mod_Survey 3.0.x

Description :
Mod_survey échoue à vérifier data fourni dans "HTTP_USER_AGENT".

Cela permet à des utilisateurs malicieux à edit the "HTTP_USER_AGENT" à contenir chaînes avec ";". Cela pourrait être utilisée corrompre the survey ou add arbitrary entrées.

Il est nécessaire however, que l'utilisation de "ENV" a été activé, un attaquant ne peut pas détecter si cela est the case à distance.

Ceci a été confirmé en version 3.0.9 et supérieure.


Solutions :
Désactiver l'utilisation de "ENV".

Versions 3.0.14e et 3.0.15-pre6 ne sont pas vulnérables.


Vulnérabilité découverte par :

Nicklas Deutschmann

Référence :
http://gathering.itm.mh.se/modsurvey/SA20030323.txt




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.