int(546)

Boletines de Vulnerabilidades


Acceso no autorizado en nd de Linux

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricant afectat GNU/Linux
Software afectado nd <= 0.8.1

Descripción

Múltiples vulanerabilidades han sido descubiertas en nd, una interfaz de línea de comandos para WebDAV, por las cuales se podrían desbordar ciertos búfers de tamaño fijo al enviar cadenas largas a un servidor.

Esta vulnerabilidad puede ser explotada desde el servidor WebDAV cuando la víctima conecta a dicho servidor con nd.

Nótese que, si bien sólo Debian ha emitido un aviso al respecto, esta vulneabilidad afecta a cualquier distribución que incluya una versión vulnerable del paquete "nd".

Solución

Aplique los mecanismos de actualización propios de su distribución, o bien obtenga las fuentes del software y compílelo usted mismo.


Actualización de software

nd
La versión 0.8.2 corrige este problema
http://www.gohome.org/nd/

Debian Linux

Debian GNU/Linux 3.0 (woody)
Fuentes:
http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1.dsc
http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1.diff.gz
http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0.orig.tar.gz
Plataforma Alpha:
http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_alpha.deb
Plataforma ARM:
http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_arm.deb
Plataforma Intel IA-32:
http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_i386.deb
Plataforma Intel IA-64:
http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_ia64.deb
Plataforma HPPA:
http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_hppa.deb
Plataforma Motorola 680x0:
http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_m68k.deb
Plataforma MIPS big-endian:
http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_mips.deb
Plataforma MIPS little-endian:
http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_mipsel.deb
Plataforma PowerPC:
http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_powerpc.deb
Plataforma IBM S/390:
http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_s390.deb
Plataforma Sun Sparc:
http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_sparc.deb

Identificadores estándar

Propiedad Valor
CVE CAN-2004-0014
BID

Recursos adicionales

Debian Security Advisory DSA-412-1
http://www.debian.org/security/2004/dsa-412

ISS X-Force Advisory
http://xforce.iss.net/xforce/xfdb/14141

Histórico de versiones

Versión Comentario Data
1.0 Aviso emitido 2004-01-06
Ministerio de Defensa
CNI
CCN
CCN-CERT