Obrir sessió
logo

DEFENSA DAVANT DE LES CIBERAMENACES

barra-separadora

Soporte de vulnerabilidades

Servicio de soporte de vulnerabilidadesAnálisis, notificación y seguimiento de aquellas vulnerabilidades más críticas, que impactan especialmente en las tecnologías empleadas en el sector público. El CCN-CERT trabajará en la recopilación y clasificación de las nuevas vulnerabilidades, realizando un análisis teórico y en laboratorio, cuando sea posible, de aquellas que por su criticidad lo requieran.

Se generarán documentos informativos o “abstracts” de dichas vulnerabilidades y se llevará a cabo un seguimiento de la evolución de la vulnerabilidad en Internet, alertando a los organismos ante cambios en la criticidad, aparición de parches, nuevas recomendaciones, constancia de explotaciones activas, etc.

Para inscribirse en este servicio o recibir más información, escribir al correo electrónico: soporte_acreditacion@ccn.cni.es

Abstracts:


Boletines de Vulnerabilidades


Vulnerabilidad de directorio transversal en Crystal Reports y Crystal Enterprise

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de la visibilidad
Dificultad Principiante
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricant afectat Microsoft
Software afectado Visual Studio .NET 2003
Outlook 2003 & Business Contact Manager
Microsoft Business Solutions CRM 1.2
WebLogic Platform 8.1 <=Service Pack 2

Descripción

Se ha descubierto una vulnerabilidad de directorio transversal en Crystal Reports y Crystal Enterprise.

Microsoft Visual Studio .NET 2003 y Outlook 2003 con Business Contact Manager redistribuyen Crystal Reports y por lo tanto también están afectados por esta vulnerabilidad. Igualmente Microsoft Business Solutions CRM 1.2 redistribuye Crystal Enterprise y es también vulnerable.

La explotación de esta vulnerabilidad podría permitir a un atacante remoto provocar una situación de denegación de servicio así como obtener y borrar archivos de un sistema afectado a través de la interfaz Web de Crystal Reports y Crystal Enterprise Web. El número de archivos comprometidos por esta vulnerabilidad dependerá del contexto de seguridad del componente afectado que este siendo utilizado por el visor Crystal Web.

Destacar que un sistema será vulnerable solo si tiene instalado Internet Information Services (IIS).

BEA WebLogic 8.1 también incluye Crystal Reports y por lo tanto se ve afectado por esta vulnerabilidad.

Solución



Actualización de software

Microsoft
Visual Studio .NET 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=659CA40E-808D-431D-A7D3-33BC3ACE922D
Outlook 2003 & Business Contact Manager
http://www.microsoft.com/downloads/details.aspx?FamilyId=9016B9F3-BA86-4A95-9D89-E120EF2E85E3
Microsoft Business Solutions CRM 1.2
ftp://ftp1.businessobjects.com/outgoing/ehf/CriticalUpdate/mscrm12_critical_update_win.zip

BEA WebLogic 8.1
Windows
ftp://ftp1.businessobjects.com/outgoing/ehf/CriticalUpdate/bea81_critical_update_win.zip
Solaris
ftp://ftp1.businessobjects.com/outgoing/ehf/CriticalUpdate/bea81_critical_update_unix.tar.gz
Linux
ftp://ftp1.businessobjects.com/outgoing/ehf/CriticalUpdate/bea81_critical_update_unix.tar.gz

Identificadores estándar

Propiedad Valor
CVE CAN-2004-0204
BID NULL

Recursos adicionales

Microsoft Security Bulletin MS04-017
http://www.microsoft.com/technet/security/Bulletin/MS04-017.mspx

BEA Security Advisory BEA04-63.00
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_63.00.jsp

Histórico de versiones

Versión Comentario Data
1.0 Aviso emitido 2004-06-09
1.1 Aviso emitido por BEA (BEA04-63.00) 2004-06-29
Tornar

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración