VulDB: Kyberna ky2help Meine Links SQL Injection [CVE-2006-3541]
Allgemein
scipID: 2351
Betroffen: Kyberna AG ky2help
Veröffentlicht: 04.07.2006 (Marc Ruef)
Risiko: 
kritisch
Eintrag: 91.2% komplett
Erstellt: 04.07.2006
Aktualisiert: 03.09.2012
Beschreibung
Das Unternehmen Kyberna AG aus Liechtenstein entwickelt verschiedene Web-Applikationen. Eine von ihnen ist ky2help, ein Ticketing-System für grössere Unternehmungen. Marc Ruef der scip AG entdeckte am 27. Oktober 2005 eine Schwachstelle in eben dieser Lösung. Durch den Einsatz von Sonderzeichen ist es im Meine Links-Bereich möglich, mittels SQL-Injection erweiterte Rechte in der Datenbank zu erhalten. Der Hersteller wurde am 01. November 2005 über das Problem informiert und hat dieses mit einem Hotfix bei den betroffenen Kunden behoben. Im darauf folgenden Software-Release wurde dieses und andere Probleme behoben. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (27026), Secunia (SA20924), SecurityFocus (BID 18800) und X-Force (27598) dokumentiert.
SQL-Injection ist wie Cross Site Scripting ein Thema, das nicht oft diskutiert und deshalb von den wenigsten wirklich ernst genommen wird. Die Gefahr dieser SQL-Schwachstelle in einem Datenbank-System ansich kann jedoch nicht verleugnet werden.
CVSS
Base Score: 4.6 (CVSS2#AV:N/AC:H/Au:S/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: SQL Injection
Auswirkungen: erweiterte Datenbankzugriffe durchführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Gegenmassnahmen
Empfehlung: Upgrade
0-Day Time: 0 Tage seit gefunden
Patch: kyberna.com
Timeline
04.07.2006 | Advisory veröffentlicht
04.07.2006 | VulDB Eintrag erstellt
06.07.2006 | OSVDB Eintrag erstellt
12.07.2006 | CVE zugewiesen
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: scip.ch
Person: Marc Ruef
Firma: scip AG
OSVDB: 27026
CVE: CVE-2006-3541 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 20924
SecurityFocus: 18800
X-Force: 27598
- Letzte Einträge
- Apple QuickTime DREF Atom Handler Pufferüberlauf [CVE-2013-1017]
- Apple QuickTime H.264 Handler Pufferüberlauf [CVE-2013-1018]
- Apple QuickTime MP3 File Handler Pufferüberlauf [CVE-2013-0989]
- Apple QuickTime Sorenson Codec Handler Pufferüberlauf [CVE-2013-1019]
- Apple QuickTime JPEG Handler Pufferüberlauf [CVE-2013-1020]
- Statistiken
- Archiv
