Tanzania Computer Emergency Response Team
TZCERT-2014-04: Tahadhari ya Kushambuliwa
Uwezekano wa Mashambulizi kwa Kuingiza amri za SQL kwenye Programu tumizi ya FrontAccounting(mahesabu).
Tarehe ya Toleo la Kwanza: 05-06-2014
Chanzo: US-CERT/NIST
Mfumo Unaoathiriwa: FrontAccounting toleo la chini ya 2.3.21
Maelezo: Uwezekano wa uingizaji wa amri mbalimbali za SQL kwenye program ya FrontAccounting (FA) kabla ya 2.3.21. Kuruhusu washambuliaji wa mbali kuingiza kiholela amri za SQL kwenye hazinadata ya FrontAccounting.
Athari: Uwezekano wa kushambuliwa ungeweza kuruhusu:
• Utoaji wa taarifa usioruhusiwa
• Badiliko lisiloruhusiwa
• Katizo la huduma
Utatuzi: FrontAccounting toleo 2.3 lihuishwe kwenda 2.3.21
Rejea:
http://frontaccounting.com/wb3/pages/posts/release-2.3.21201.php
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3973