int(3772)

Vulnerability Bulletins

Cross-Site Scripting en Gnats y Gnatsweb

Vulnerability classification
Property Value
Confidence level Oficial
Impact Aumento de la visibilidad
Dificulty Avanzado
Required attacker level Acceso remoto sin cuenta a un servicio exotico

System information
Property Value
Affected manufacturer GNU/Linux
Affected software Gnatsweb 4.00
Gnats 4.1.99

Description
Se ha descubierto una vulnerabilidad de tipo Cross-Site Scripting en Gnatsweb 4.0 y en Gnats 4.1.99, un sistema de gestión de avisos de problemas. La vulnerabilidad reside en un error de validación del parámetro "database" en el fichero "gnatsweb.pl".

Un atacante remoto podría inyectar código javascript o HTML arbitrario mediante el parámetro "database".

Solution


Actualización de software

Debian (DSA-1486-1)

Debian Linux 4.0
Source
http://security.debian.org/pool/updates/main/g/gnatsweb/gnatsweb_4.00-1etch1.dsc
http://security.debian.org/pool/updates/main/g/gnatsweb/gnatsweb_4.00.orig.tar.gz
http://security.debian.org/pool/updates/main/g/gnatsweb/gnatsweb_4.00-1etch1.diff.gz
Independiente de la arquitectura
http://security.debian.org/pool/updates/main/g/gnatsweb/gnatsweb_4.00-1etch1_all.deb

Standar resources
Property Value
CVE CVE-2007-2808
BID 24081

Other resources
Debian Security Advisory (DSA-1486-1)
http://lists.debian.org/debian-security-announce/debian-security-announce-2008/msg00042.html

Version history
Version Comments Date
1.0 Aviso emitido 2008-02-06
Ministerio de Defensa
CNI
CCN
CCN-CERT