検出

Request Tracker 4.2.x < 4.2.5 メール::アドレス:DoSを処理するリストモジュール文字列

medium Nessus プラグイン ID 76939

Language:

概要

リモート Web サーバーは、サービス拒否の脆弱性による影響を受ける Perl アプリケーションを実行しています。

説明

自己報告されたバージョン番号によると、リモート Web サーバーで実行されている Best Practical Solutions Request Tracker(RT)は、4.2.5 より前のバージョン 4.2.x です。このため、Perl CPAN Emailモジュールのアルゴリズム複雑性の欠陥によって、サービス拒否の脆弱性による影響を受ける可能性があります。: アドレス:リストモジュール。リモートの攻撃者がこれを悪用して、アドレスがない、細工された文字列を送信することで、CPU リソースの使い果たしによりサービス拒否を引き起こす可能性があります。

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Request Tracker 4.2.5またはEmailにアップグレードしてください。: アドレス:: リスト0.02。

参考資料

https://docs.bestpractical.com/release-notes/rt/4.2.5

http://www.nessus.org/u?c21c8430

プラグインの詳細

深刻度: Medium

ID: 76939

ファイル名: rt_425.nasl

バージョン: 1.7

タイプ: remote

ファミリー: CGI abuses

公開日: 2014/7/31

更新日: 2022/4/11

設定: パラノイドモードの有効化, 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: cpe:/a:bestpractical:rt

必要な KB アイテム: Settings/ParanoidReport, installed_sw/RT

除外される KB アイテム: Settings/disable_cgi_scanning

エクスプロイトの容易さ: No exploit is required

パッチ公開日: 2014/6/12

脆弱性公開日: 2014/1/27

参照情報

CVE: CVE-2014-1474

BID: 68690