PT-2013-01: Внедрение XML External Entity в GNOME Уязвимое ПОGNOME Версия 3.8.1 и более ранняяСсылка: http://www.gnome.orgРейтинг опасностиУровень опасности: Средний Воздействие: Доступ к внутренним ресурсам сети, доступ к файловой системе Вектор атаки: Локальный CVSS v2: Base Score: 6.6 Vector: (AV:L/AC:L/Au:N/C:C/I:N/A:C) CVE: отсутствует Описание программыGNOME - свободная среда рабочего стола для Unix-подобных операционных системОписание уязвимостиСпециалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость доступа к локальным ресурсам (файлам и внутренним ресурсам сети) через XML External Entity в GNOME. Злоумышленник может передать пользователю специально сформированный файл, при просмотре каталога, который содержит этот файл, или при открытии данного файла, librsvg отошлет содержимое локального ресурса на сервер злоумышленника.РешениеУстановите последнюю версию приложения.Статус уведомления14.01.2013 - Производителю отправлены детали уязвимости 16.05.2013 - Производитель выпустил исправление 20.06.2013 - Публикация уязвимости БлагодарностиУязвимость обнаружили Тимур Юнусов и Алексей Осипов (Исследовательcкий центр Positive Research компании Positive Technologies)Ссылкиhttp://www.securitylab.ru/lab/PT-2013-01 Список отчетов о ранее обнаруженных уязвимостях Positive Research:http://www.ptsecurity.ru/lab/advisory/ http://www.securitylab.ru/lab/
