漏洞信息详情

LANDesk Management Gateway 'gsb/drivers.php'代码注入漏洞

• CNNVD编号：CNNVD-201011-161
• 危害等级： 中危
  
• CVE编号： CVE-2010-2892
• 漏洞类型： 输入验证
• 发布时间： 2010-11-17
• 威胁类型： 远程
• 更新时间： 2010-11-17
• 厂        商： landesk
• 漏洞来源：

漏洞简介

Landesk管理套件是一款网络管理系统，可控制桌面，服务器和移动设备等。

LANDesk Management Gateway 4.0至4.0-1.48版本以及4.2至4.2-1.8版本中的gsb/drivers.php文件中存在代码注入漏洞。远程认证管理员可以借助DRIVES参数中的shell元字符执行任意命令。该漏洞已经通过跨站伪造请求攻击得到证实。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://community.landesk.com/support/docs/DOC-21767

参考网址

来源: VUPEN

名称: ADV-2010-2957

链接:http://www.vupen.com/english/advisories/2010/2957

来源: BID

名称: 44781

链接:http://www.securityfocus.com/bid/44781

来源: BUGTRAQ

名称: 20101110 CORE-2010-1018 - Landesk OS command injection

链接:http://www.securityfocus.com/archive/1/archive/1/514728/100/0/threaded

来源: EXPLOIT-DB

名称: 15488

链接:http://www.exploit-db.com/exploits/15488

来源: www.coresecurity.com

链接:http://www.coresecurity.com/content/landesk-os-command-injection-vulnerability

来源: SECTRACK

名称: 1024728

链接:http://securitytracker.com/id?1024728

来源: SECUNIA

名称: 42188

链接:http://secunia.com/advisories/42188

来源: community.landesk.com

链接:http://community.landesk.com/support/docs/DOC-21767

受影响实体

• Landesk Management_gateway:4.2  
• Landesk Management_gateway:4.2-1.8  
• Landesk Management_gateway:4.0-1.48  
• Landesk Management_gateway:4.0  

补丁

暂无