CERT-FI haavoittuvuustiedote 045/2003

3.7.2003

Haavoittuvuus Microsoft Netmeeting -kokousohjelmassa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Windows NetMeeting on kokousohjelma, jonka avulla voi järjestää videoneuvotteluja. Sen yhtenä ominaisuutena on tiedostonjako, jonka avulla voidaan vaihtaa tiedostoja NetMeeting neuvottelun aikana osapuolten kesken. Löydetty haavoittuvuus liittyy kyseiseen ominaisuuteen, jota hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omaa koodiaan. Hyökkääjä voi hyödyntää haavoittuvuutta käyttämällä tiedostonsiirrossa "..\..\" merkit sisältäviä tiedostonimiä ja siten tallettaa tiedosto haluamaansa paikkaan kohdetietojärjestelmässä.

HAAVOITTUVAT OHJELMISTOT:

• NetMeeting versio 3.01 (4.4.3385)

• Myös muut versiot voivat olla haavoittuvia

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä valmistajan ohjeiden mukaan:

Windows 2000 Service Pack 4
http://www.microsoft.com/Windows2000/downloads/servicepacks/sp4/

Windows XP Service Pack 1
http://www.microsoft.com/WindowsXP/pro/downloads/servicepacks/sp1/

Haavoittuvuus ei koske Windows 2003 Server -käyttöjärjestelmää.

LISÄTIETOA:

http://www.coresecurity.com/common/showdoc.php?idx=352&idxseccion=10

PÄIVITYSHISTORIA:

03.07.2003: Julkaistu

Sivua päivitetty 06.08.2007

Tulostusversio