Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en gnump3d |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Aumento de la visibilidad |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | GNU/Linux |
| Software afectado | gnump3d < 2.9.3 |
Descripción |
|
|
Se han descubierto dos vulnerabilidades en gnump3d. Las vulnerabilidades son descritas a continuación: - CVE-2005-3122: Vulnerabilidad de cross-site scripting debida a que la página de error 404 no realiza un filtrado de los datos antes de mostrarlos por pantalla. Un atacante remoto podría ejecutar código JavaScript en el contexto del navegador de la victima. - CVE-2005-3123: gnump3d no valida correctamente ciertas peticiones. Un atacante remoto podría leer ficheros arbitrarios a los que el servidor gnump3d tenga acceso mediante peticiones URL especialmente diseñadas. |
|
Solución |
|
|
Actualización de software Debian Debian Linux 3.1 Source http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3-1sarge2.dsc http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3.orig.tar.gz http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3-1sarge2.diff.gz Architecture independent http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3-1sarge2_all.deb Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2005-3122 CVE-2005-3123 |
| BID | |
Recursos adicionales |
|
|
Debian Security Advisory (DSA 877-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2005/msg00273.html SUSE Security Advisory (SUSE-SR:2005:025) http://www.novell.com/linux/security/advisories/2005_25_sr.html SUSE Security Advisory (SUSE-SR:2005:026) http://www.novell.com/linux/security/advisories/2005_26_sr.html SUSE Security Advisory (SUSE-SR:2005:027) http://www.novell.com/linux/security/advisories/2005_27_sr.html SUSE Security Advisory (SUSE-SR:2005:028) http://www.novell.com/linux/security/advisories/2005_28_sr.html |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2005-10-28 |
| 1.1 | Aviso emitido por Suse (SUSE-SR:2005:025) | 2005-11-14 |
| 1.2 | Aviso emitido por Suse (SUSE-SR:2005:026) | 2005-11-16 |
| 1.3 | Aviso emitido por Suse (SUSE-SR:2005:027) | 2005-11-23 |
| 1.4 | Aviso emitido por Suse (SUSE-SR:2005:028) | 2005-12-13 |