Программа: 
DataDomain OS 3.x
DataDomain OS 4.x

Уязвимость позволяет удаленному злоумышленнику обойти ограничения безопасности на целевой системе.
Уязвимость существует из-за ошибки в проверке входных данных при обработке параметров некоторыми UNIX командами (например, ping, ifconfig). Атакующий может вызвать уязвимые команды со специально составленными параметрами, что позволит выполнить произвольные команды на целевой системе.

 

Description:
Elliot Kendall has reported a weakness in DataDomain OS, which can be exploited
by malicious users to bypass certain security restrictions.

The weakness is caused due to wrappers of certain UNIX commands (e.g. ping,
ifconfig) not properly escaping parameters. This can be exploited to execute
arbitrary commands by invoking a wrapper with specially crafted parameters.

Successful exploitation requires access to the administrator command line
interface.

The weakness is reported in Data Domain OS 3.0.0 through 4.0.3.5. Prior versions
may also be affected.

Solution:
Reportedly, this is fixed in DataDomain OS 4.0.3.6 or later.

Provided and/or discovered by:
Elliot Kendall, Brandeis University



Оставить мнение