PT-2009-43: Предсказуемость сессий в Kayako Support Suite Уязвимое ПОKayako Support Suite Версия 3.60.04 stable и, возможно, более ранние Ссылка на приложение: http://www.kayako.com/Рейтинг опасностиУровень опасности: Низкий Воздействие: Предсказуемость сессий Вектор атаки: УдаленныйCVSS v2: Base Score: 4.3 Temporal Score: 3.2 Vector: (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C)CVE: отсутствуетОписание программного обеспечения Kayako Support Suite – система технической поддержки HelpDesk.Описание уязвимостиPositive Technologies Research Team обнаружили уязвимость "предсказуемое значение идентификатора сессии" в приложении Kayako Support Suite.Для генерации сессии используются небезопасные функции mt_rand() и uniqid(). Кроме того, mt_srand() использует для seed функцию microtime( ), что позволяет перебрать все возможные варианты значения seed, зафиксировать его и предугадать значение следующего sess_id или название файла при его загрузке.Подробности уязвимостей не раскрываются. Решение Установите последнюю версию - 3.70.01Статус уведомления12.10.2009 - Производитель уведомлен 13.10.2009 - Получен ответ от производителя 09.02.2010 - Производитель подтвердил уязвимость и предоставил временное решение 12.03.2009 - Производитель выпустил исправление 08.04.2009 - Разглашение уязвимостиБлагодарностиЭту уязвимость обнаружил Тимур Юнусов (Positive Technologies Research Team) Ссылкиhttp://www.securitylab.ru/lab/PT-2009-43 http://www.ptsecurity.ru/advisory.aspСписок отчетов об уязвимостях, ранее обнаруженных Positive Technologies Research Team:http://www.securitylab.ru/lab/ http://www.ptsecurity.ru/advisory.asp
