Boletines de Vulnerabilidades |
Cross-Site Scripting en el módulo Perl CGI.pm y Safe.pm |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Confidencialidad |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricant afectat | GNU/Linux |
Software afectado |
CGI.pm Safe.pm |
Descripción |
|
Se ha descubierto una vulnerabilidad en el modulo CGI.pm y Safe.pm de Perl en Linux, que puede causar que un sitio web con estos módulos instalados sea usado para realizar ataques de "Cross-site scripting". - CAN-2003-0615: Este fallo reside en la función "start_form" del módulo y puede ser explotado utilizando un URL maliciosa construida con esta función para insertar web scripts arbitrarios en una nueva página generada. Explotando esta vulnerabilidad un atacante podría robar las "cookies" de los usuarios que visiten los sitios web vulnerables. - CAN-2002-1323: Esta vulnerabilidad podría permitir atacantes remotos salir de los compartimentos seguros en (1) Safe::reval o (2) Safe::rdo mediante una variable redefinida con @_. |
|
Solución |
|
Actualización de software Sun Solaris 8 / SPARC / Parche 122091-01 Solaris 8 / x86 / Parche 122092-01 Solaris 9 / SPARC / (perl v5.005_03) Parche 121996-01 Solaris 9 / SPARC / (perl v5.6.1) Parche 119449-01 Solaris 9 / x86 / (perl v5.005_03) patch 121997-02 Solaris 9 / x86 / (perl v5.6.1) Parche 119450-01 http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CAN-2003-0615 CAN-2002-1323 |
BID | 6111 |
Recursos adicionales |
|
Linux Debian security advisory DSA-371 11-8-2003 http://www.debian.org/security/2003/dsa-371 Linux RedHat security advisory RHSA-2003:256 22-9-2003 http://www.redhat.com/support/errata/RHSA-2003-256.html Sun(sm) Alert Notification 101426 http://sunsolve.sun.com/search/document.do?assetkey=1-26-101426-1 |
Histórico de versiones |
||
Versión | Comentario | Data |
1.0 | Aviso emitido | 2003-09-24 |
1.1 | Aviso actualizado por Sun (101426) | 2005-06-23 |
1.2 | Aviso actualizado por Sun (101426). CVE añadido. | 2006-02-03 |
1.3 | Aviso actualizado por Sun (101426) | 2006-02-14 |
1.4 | Aviso actualizado por Sun (101426) | 2006-03-10 |
1.5 | Aviso actualizado por Sun (101426) | 2006-03-22 |