偵測

FreeBSD:postfixadmin -- 多個弱點 (93688f8f-4935-11e1-89b4-001ec9578670)

medium Nessus Plugin ID 57720

語系:

概要

遠端 FreeBSD 主機缺少安全性相關更新。

說明

Postfix 系統管理員團隊報告:

存在多個 XSS 弱點:- templates/menu.php 和 edit-vacation 中 $_GET[domain] 的 XSS 弱點 - 部分 create-domain 輸入欄位中的 XSS 弱點 - create-alias 和 edit-alias 錯誤訊息中的 XSS 弱點 - fetchmail 清單檢視 list-domain 和 list-virtual 中的 XSS 弱點 (資料庫中儲存的值所引發)

存在多個 SQL 插入問題:- pacrypt() 中的 SQL 插入問題 (若 $CONF[encrypt] == 'mysql_encrypt') - backup.php 中的 SQL 插入問題 - 轉儲存不是 mysql_escape()d,因此使用者可插入 SQL (例如在 vacation 訊息中),而該 SQL 會在還原資料庫轉儲存時執行。警告:從 2.3.4 或更舊版 backup.php 建立的資料庫轉儲存可能包含惡意 SQL。使用前請先重複檢查!

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?25791307

http://www.nessus.org/u?ab6aab38

Plugin 詳細資訊

嚴重性: Medium

ID: 57720

檔案名稱: freebsd_pkg_93688f8f493511e189b4001ec9578670.nasl

版本: 1.7

類型: local

已發布: 2012/1/30

已更新: 2021/1/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Medium

基本分數: 6.5

媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS v3

風險因素: Medium

基本分數: 6.1

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

弱點資訊

CPE: p-cpe:/a:freebsd:freebsd:postfixadmin, cpe:/o:freebsd:freebsd

必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

修補程式發佈日期: 2012/1/27

弱點發布日期: 2012/1/27

參考資訊

CVE: CVE-2012-0811, CVE-2012-0812