CNNVD-ID编号 | CNNVD-200608-483 |
CVE编号 | CVE-2006-4244 |
发布时间 | 2006-08-30 |
更新时间 | 2006-09-27 |
漏洞类型 | 授权问题 |
漏洞来源 | Chris Travers of Metatron Technology Consulting discovered this vulnerability. |
危险等级 | 高危 |
威胁类型 | 远程 |
厂 商 | sql-ledger |
SQL-Ledger 2.4.4至2.6.17版本通过验证sql-ledger-[username] cookie的值与sessionid参数的值相匹配来认证用户,远程攻击者可通过将该cookie和参数设为相同值来获取任何登录用户的访问权限。
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
SQL-Ledger SQL-Ledger 2.4.7
Debian sql-ledger_2.4.7-2sarge1_all.deb
Debian GNU/Linux 3.1 (sarge)
http://security.debian.org/pool/updates/main/s/sql-ledger/sql-ledger_2.4.7-2sarge1_all.deb
来源: XF
名称: sql-ledger-session-unauth-access(28671)
来源: www.sql-ledger.org
链接:http://www.sql-ledger.org/cgi-bin/nav.pl?page=news.html&title=What%27s%20New
来源: BID
名称: 19758
来源: BUGTRAQ
名称: 20060830 SQL-Ledger serious security vulnerability and workaround
链接:http://www.securityfocus.com/archive/1/archive/1/444741/100/0/threaded
来源: BUGTRAQ
名称: 20060907 Full Disclosure for SQL-Ledger vulnerability CVE-2006-4244
来源: SREASON
名称: 1472