CERT-FI haavoittuvuustiedote 104/2008

3.9.2008

Haavoittuvuus Novell iPrint Client -ohjelmistossa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Novell iPrint Client -ohjelmistosta on löytynyt muistin ylivuotohaavoittuvuus. Haavoittuvuus liittyy iPrint Client -ohjelmiston nipplib.dll-kirjaston IppCreateServerRef()-funktioon. Haavoittuvuutta voi hyväksikäyttää iPrint Client -ohjelmistoon liittyvän Novell iPrint ActiveX-komponentin (ienipp.ocx) välityksellä, antamalla kyseisen ActiveX-komponentin tarjoamille funktiolle parametrina tietyllä avalla muotoiltuja merkkijonoja. Haavoittuvuutta voi hyväksikäyttää houkuttelemalla käyttäjä tietyllä tavalla muotoillulle www-sivustolle ja se mahdollistaa hyökkääjän komentojen suorittamisen haavoittuvassa järjestelmässä.

HAAVOITTUVAT OHJELMISTOT:

• Novell iPrint Client for Windows versio 4.36
• Novell iPrint Client for Windows Vista versiot 5.04 ja 5.06

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva iPrint Client for Windows -ohjelmisto versioon 4.38 valmistajan tiedotteen mukaisesti:

http://download.novell.com/Download?buildid=3q-_lVDVRFI~

Päivitä haavoittuva iPrint Client for Windows Vista -ohjelmisto versioon 5.08 valmistajan tiedotteen mukaisesti:

http://download.novell.com/Download?buildid=dv_yn4TOPmQ~

LISÄTIETOA:

• http://secunia.com/advisories/31370/
• http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-2436

PÄIVITYSHISTORIA:

3.9.2008, kello 16.15: Julkaistu

Sivua päivitetty 03.09.2008

Tulostusversio