Vulnerability Bulletins |
Lectura de ficheros arbitrarios de un repositorio en Mercurial |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Confidencialidad |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | Mercurial < 1.0.2 |
Description |
|
|
Se ha descubierto una vulnerabilidad en Mercurial 1.x. La vulnerabilidad reside en un error en la configuración de permisos para una operación de actualización (pull) desde "hgweb". Un atacante remoto podría leer ficheros arbitrarios de un repositorio mediante una consulta "hg pull". |
|
Solution |
|
|
Actualización de software Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux. |
|
Standar resources |
|
| Property | Value |
| CVE | CVE-2008-4297 |
| BID | 31223 |
Other resources |
|
|
SUSE Security Advisory (SUSE-SR:2008:020) http://www.novell.com/linux/security/advisories/2008_20_sr.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2008-10-10 |