Vulenrabilidad en Servidor de Fax Hylafax
|
Clasificación de la vulnerabilidad
|
Propiedad |
Valor |
Nivel de Confianza |
Oficial |
Impacto |
Compromiso Root |
Dificultad |
Avanzado |
Requerimientos del atacante |
Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema
|
Propiedad |
Valor |
Fabricant afectat |
GNU/Linux |
Software afectado |
Hylafax <= 4.1.7 |
Descripción
|
Se ha descubierto un bug de formato que permitiría ejecutar código con privilegios de root a través del servidor Hylafax. Con la configuración por defecto no se puede explotar esta vulnerabilidad.
Hylafax es un servidor de Fax de código abierto que permite compartir el equipo fax con otros computadores, y maneja un protocolo similar al ftp.
También es necesario actualizar el paquete "capi4hylafax" que es una dependencia. |
Solución
|
Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo.
Actualizar paquetes
Hylafax
Hylafax 4.1.7
http://www.hylafax.org/4.1.7.html
SUSE Linux
SuSE-9.0
i386
ftp://ftp.suse.com/pub/suse/i386/update/9.0/rpm/i586/hylafax-4.1.7-67.i586.rpm ftp://ftp.suse.com/pub/suse/i386/update/9.0/rpm/i586/capi4hylafax-4.1.7-67.i586.rpm
SuSE-8.2
i386
ftp://ftp.suse.com/pub/suse/i386/update/8.2/rpm/i586/hylafax-4.1.5-190.i586.rpm
ftp://ftp.suse.com/pub/suse/i386/update/8.2/rpm/i586/capi4hylafax-4.1.5-190.i586.rpm
SuSE-8.1
i386
ftp://ftp.suse.com/pub/suse/i386/update/8.1/rpm/i586/hylafax-4.1.3-145.i586.rpm
ftp://ftp.suse.com/pub/suse/i386/update/8.1/rpm/i586/capi4hylafax-4.1.3-145.i586.rpm
SuSE-8.0
i386
ftp://ftp.suse.com/pub/suse/i386/update/8.0/n4/hylafax-4.1-303.i386.rpm
SuSE-7.3
i386
ftp://ftp.suse.com/pub/suse/i386/update/7.3/n3/hylafax-4.1-303.i386.rpm
Sparc
ftp://ftp.suse.com/pub/suse/sparc/update/7.3/n3/hylafax-4.1-122.sparc.rpm
PPC Power PC
ftp://ftp.suse.com/pub/suse/ppc/update/7.3/n3/hylafax-4.1-206.ppc.rpm
Mandrake
Mandrake Corporate Server 2, Mandrake Linux 9.0, 9.1, 9.2
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:105
Debian Linux
Debian GNU/Linux 3.0 (woody)
Source
http://security.debian.org/pool/updates/main/h/hylafax/hylafax_4.1.1-3.dsc
http://security.debian.org/pool/updates/main/h/hylafax/hylafax_4.1.1-3.diff.gz
http://security.debian.org/pool/updates/main/h/hylafax/hylafax_4.1.1.orig.tar.gz
Architecture-independent component
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-doc_4.1.1-3_all.deb
Alpha
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3_alpha.deb
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3_alpha.deb
ARM
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3_arm.deb
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3_arm.deb
Intel IA-32
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3_i386.deb
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3_i386.deb
Intel IA-64
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3_ia64.deb
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3_ia64.deb
HPPA
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3_hppa.deb
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3_m68k.deb
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3_powerpc.deb
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3_s390.deb
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3_s390.deb
Sun Sparc
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3_sparc.deb
http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3_sparc.deb |
Identificadores estándar
|
Propiedad |
Valor |
CVE |
CAN-2003-0886 |
BID |
NULL |
Recursos adicionales
|
SuSE-SA:2003:045
http://www.suse.de/de/security/2003_045_hylafax.html
MandrakeSoft Security Advisory MDKSA-2003:105
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:105
Debian Security Advisory DSA-401-1
http://www.debian.org/security/2003/dsa-401 |