PT-2013-01: Внедрение XML External Entity в GNOME

Уязвимое ПО

GNOME
Версия 3.8.1 и более ранняя

Ссылка: 
http://www.gnome.org

Рейтинг опасности

Уровень опасности: Средний
Воздействие: Доступ к внутренним ресурсам сети, доступ к файловой системе
Вектор атаки: Локальный

CVSS v2:
Base Score: 6.6
Vector: (AV:L/AC:L/Au:N/C:C/I:N/A:C)

CVE: отсутствует

Описание программы

GNOME - свободная среда рабочего стола для Unix-подобных операционных систем

Описание уязвимости

Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость доступа к локальным ресурсам (файлам и внутренним ресурсам сети) через XML External Entity в GNOME.
Злоумышленник может передать пользователю специально сформированный файл, при просмотре каталога, который содержит этот файл, или при открытии данного файла, librsvg отошлет содержимое локального ресурса на сервер злоумышленника.

Решение

Установите последнюю версию приложения.

Статус уведомления

14.01.2013 - Производителю отправлены детали уязвимости
16.05.2013 - Производитель выпустил исправление
20.06.2013 - Публикация уязвимости

Благодарности

Уязвимость обнаружили Тимур Юнусов и Алексей Осипов (Исследовательcкий центр Positive Research компании Positive Technologies)

Ссылки

http://www.securitylab.ru/lab/PT-2013-01

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/

Уязвимости