OM SITIC
WEBBKARTA
Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
Hem Sårbarheter Sårbarhetskungörelser SA07-001 - Injicering av SQL-kommandon i Interbook

Nyheter

SR10-169 Squid - Proxy Cache, sårbar för belastningsattack
En sårbarhet har rapporterats i Squid Proxy Cache, vilken kan utnyttjas för en belastningsattack.
2010-09-06 15:46
IPv6 tillför mer säkerhet och nya sårbarheter...
Utvecklingen av IPv6 som pågått under drygt ett decenium har inkluderat inbyggd säkerhet som till exempel IPSEC. Men en fråga som samtidigt ställs är: vilka nya hot och säkerhetsrisker innebär en migrering?
2010-09-05 20:41
Säkerhetsföretag anlitade Snoop Dogg för aktion mot cyberbrott
Säkerhetsföretaget Symantec anlitade Snoop Dogg för en raptävling mot cyberbrott. Det visade sig att webbsidan som användes för tävlingen bland annat innehöll flera XSS-sårbarheter.
2010-09-04 16:43
SR10-168 HP - Operations Agent innehåller allvarlig sårbarhet
En sårbarhet har upptäckts i HP Operations Agent för Windows. Effektivt utnyttjande kan leda till kodexekvering med samma privilegier som användaren SYSTEM.
2010-09-03 22:33
Sitics veckobrev v. 35
Veckan har innehållit ett experiment med Cisco-routrar som tog ned 1% av Internet samt efterdyningarna av DLL-problemet från förra veckan.
2010-09-03 14:03
SR10-167 Google - Chrome innehåller flera sårbarheter
Google har släppt en ny version av webbläsaren Chrome som rättar till ett flertal säkerhetshål. Effektivt utnyttjande kan leda till att ett sårbart system kan tas över.
2010-09-03 11:12
ProcDump v2.0 och Process Monitor v2.92 har släppts
Verktygen ProcDump och Process Monitor har uppdaterats med ny funktionalitet.
2010-09-02 15:33
Microsoft har uppdaterat information om "DLL Preloading"-problemet
Microsoft har släppt en uppdatering om DLL-problemet som rapporterades under förra veckan.
2010-09-01 10:06
SR10-166 Apple - Quicktime innehåller bakdörr
En sårbarhet i form av en bakdörr har upptäckts i Apple Quicktime för Windows. Effektivt utnyttjande kan leda till att skadlig kod kan köras på det sårbara systemet.
2010-08-31 12:32
Prenumerera på RSS/Atom
Mer...

SA07-001 - Injicering av SQL-kommandon i Interbook

SITIC sårbarhetskungörelse

Beteckning: Injicering av SQL-kommandon i Interbook
Kungörelsereferens: SA07-001
Datum för första utgåva: 2007-03-05
Produkt: Interbook
Plattform: Windows
Verkan: Fjärran kodexekvering
Sårbarhetsidentifierare: -

Sammanfattning:
Argentums bokningssystem Interbook, har inte kontrollerat all indata till underliggande databasfrågor. Detta skulle kunnna leda till att SQL-kommandon kan exekveras på databasen.

Detaljer:
Genom att manipulera parametrar som används som indata till databasfrågor, skulle en angripare kunna utnyttja denna säkerhetsbrist för att exekvera godtyckliga SQL-kommandon på ett sårbart system. Detta kan innebära att systemet tas över av angriparen.

Förmildrande faktorer:
Om någon programvara som filtrerar bort specialtecken innan de hanteras av webbservern finns installerad, kommer denna attack troligtvis inte att fungera.

Påverkade versioner:
Alla versioner innan version 2006 Service-Pack 2 patch A1.

Rekommendationer:
Argentum har presenterat en programrättning som bör installeras omedelbart.

Programrättning:
Det har utgått ett e-postmeddelande till alla Argentums kunder som använder Interbook med information om hur säkerhetsuppdatering kan laddas ned. Kontakta Argentums supportorganisation, booking@argentum.se för mer information.

Erkännande:
Dessa sårbarheter har identifieras av Jon Jezierski och Daniel Minnelid från Defensor.

Kontaktinformation:
Sveriges IT-incidentcentrum, SITIC
Box 5398, 102 49 Stockholm
Telefon: 08 678 5799
E-post: sitic snabel-a pts punkt se
http://www.sitic.se

Revisionshistorik:
Första utgåva 2007-03-05

Om Sitic:
Sitics uppgift är att stödja samhället i arbetet med skydd mot IT-incidenter. Sitic ska främja informationsutbytet om IT-incidenter mellan samhällets organisationer och ska sprida information om nya problem som kan störa IT-system. Sitic lämnar också information och råd om förebyggande åtgärder samt sammanställer och ger ut statistik.

Villkor:
Beslutet att agera på grundval av information eller råd i denna sårbarhetskungörelse är den enskilda användarens eller organisationens eget ansvar. Sitic tar inte på sig något ansvar för eventuella fel eller brister i denna sårbarhetskungörelse, inte heller för konsekvenser som kan följa på åtgärder grundade på information eller råd i kungörelsen.

Sitic, Sveriges IT-incidentcentrum
Telefon: 08-678 57 99
Fax: 08-678 55 10
E-post: sitic@sitic.se - PGP-nyckel
Om cookies