检测

FreeBSD:wesnoth -- 具有小写、大写和混合大小写扩展名的 .pbl 文件的泄露 (2a8b7d21-1ecc-11e5-a4a5-002590263bf5)

medium Nessus 插件 ID 84483

语言:

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

Ignacio R. Morelle 报告:

如 Wesnoth 1.12.4 和 Wesnoth 1.13.1 发行公告中所述,已发现针对附加组件作者的安全漏洞(缺陷 #23504),可允许恶意用户从客户端的 .pbl 文件获取附加组件服务器密码,然后通过网络传输它们,或者存储在受害者预期要共享的已保存游戏文件中。此漏洞影响所有现有的版本,直至并包括版本 1.12.2 和 1.13.0。此外,版本 1.12.3 只包含部分补丁,无法帮助用户防范攻击者尝试读取具有大写或混合大小写扩展名的 .pbl 文件。CVE-2015-5069 和 CVE-2015-5070 已分别分配到影响具有小写扩展名的 .pbl 文件的漏洞,以及影响具有大写或混合大小写扩展名的 .pbl 文件的漏洞。

解决方案

更新受影响的程序包。

另见

http://forums.wesnoth.org/viewtopic.php?t=42776

http://forums.wesnoth.org/viewtopic.php?t=42775

http://www.nessus.org/u?28cb1aa1

插件详情

严重性: Medium

ID: 84483

文件名: freebsd_pkg_2a8b7d211ecc11e5a4a5002590263bf5.nasl

版本: 2.7

类型: local

发布时间: 2015/7/1

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 1.4

CVSS v2

风险因素: Medium

基本分数: 4

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N

CVSS v3

风险因素: Medium

基本分数: 4.3

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

漏洞信息

CPE: cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:wesnoth

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2015/7/1

漏洞发布日期: 2015/6/28

参考资料信息

CVE: CVE-2015-5069, CVE-2015-5070