Boletines de Vulnerabilidades |
Vulnerabilidad en Webmin |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de la visibilidad |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | Webmin |
Descripción |
|
Se ha descubierto una vulnerabilidad en Webmin. La vulnerabilidad reside en un error de validación de entrada a la hora de manejar URLs que incluyen el carácter nulo "%00". La explotación de esta vulnerabilidad podría permitir a un atacante remoto explotar vulnerabilidades de cross-site scripting, leer el código fuente de programas CGI, listar directorios y, posiblemente, llegar a ejecutar programas del sistema. |
|
Solución |
|
Actualización de software Mandriva Linux Mandriva Linux 2007 X86 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/i586/webmin-1.290-4.1mdv2007.0.noarch.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/SRPMS/webmin-1.290-4.1mdv2007.0.src.rpm X86_64 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/x86_64/webmin-1.290-4.1mdv2007.0.noarch.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/SRPMS/webmin-1.290-4.1mdv2007.0.src.rpm Debian Source http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1.dsc http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180.orig.tar.gz http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1.diff.gz Architecture independent http://security.debian.org/pool/updates/main/w/webmin/webmin-core_1.180-3sarge1_all.deb http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1_all.deb |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CVE-2006-4542 |
BID | 19820 |
Recursos adicionales |
|
Mandriva Security Advisory MDKSA-2006:170-1 http://www.mandriva.com/security/advisories?name=MDKSA-2006:170-1 Debian Security Advisory (DSA 1199-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00295.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2006-10-02 |
1.1 | Aviso emitido por Debian (DSA 1199-1) | 2006-10-24 |