Boletines de Vulnerabilidades |
Desbordamiento de búfer en Listproc Mailing List |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Probable |
| Impacto | Compromiso Root |
| Dificultad | Principiante |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | GNU/Linux |
| Software afectado | Listproc <= 8.2.09 |
Descripción |
|
| Se ha descubierto una vulnerabilidad en la aplicación 'catmail' de ayuda del software de listas de correo ListProc, que permite a un usuario local ejecutar código arbitrario para ganar privilegios de root. Existe un desbordamiento de búfer explotable en el tratamiento de la variable de entorno ULISTPROC_UMASK de catmail. Un usuario local puede modificar la variable a un cierto valor para ejecutar código arbitrario. Catmail está configurado con el 'setuid' de privilegios administrativos, permitiendo a un usuario local ejecutar código arbitrario con privilegios de superusuario. | |
Solución |
|
|
Actualización de software: listproc http://listproc.sourceforge.net/ |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | |
| BID | |
Recursos adicionales |
|
|
Vulnwatch Mailing List "ListProc mailing list ULISTPROC_UMASK overflow" 8/5/2003: http://marc.theaimsgroup.com/?l=vulnwatch&m=105241479131693&w=2 |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2003-05-13 |