Miembros de
Boletines de Vulnerabilidades |
Inyección de comandos en el plugin S/MIME de Squirrelmail |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado |
Squirrelmail S/MIME plugin 0.5 Squirrelmail S/MIME plugin 0.4 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad en las versiones 0.5 y 0.4 del plugin S/MIME de Squirrelmail. La vulnerabilidad reside en un error de validación de la entrada que se utiliza posteriormente como argumento para una llamada exec(). La explotación de esta vulnerabilidad podría permitir a un usuario autenticado en Squirrelmail ejecutar comandos arbitrarios en el servidor con los privilegios del servidor Web. |
|
Solución |
|
|
Actualización de software S/MIME plugin S/MIME plugin 0.6 http://www.squirrelmail.org/plugin_view.php?id=54 SUSE Linux Actualizar mediante YaST Online Update |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CAN-2005-0239 |
| BID | |
Recursos adicionales |
|
|
iDEFENSE Security Advisory 02.07.05 ID 191 http://www.idefense.com/application/poi/display?id=191&type=vulnerabilities SUSE Security Summary Report SUSE-SR:2005:008 http://www.novell.com/linux/security/advisories/2005_08_sr.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2005-02-08 |
| 1.1 | CAN añadido | 2005-02-24 |
| 1.2 | Aviso emitido por SUSE (SUSE-SR:2005:008) | 2005-03-21 |