Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Just For Fun Network Management System |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | Just For Fun Network Management System 0.8.3 |
Descripción |
|
Se han encontrado múltiples vulnerabilidades en Just For Fun Network Management System. Las vulnerabilidades son descritas a continuación. - CVE-2007-3189: Se ha encontrado una vulnerabilidad del tipo cross-site scripting en Just For Fun Network Management System 0.8.3. La vulnerabilidad reside en un error no especificado. Un atacante remoto podría inyectar código script web o HTML mediante el parámetro user. - CVE-2007-3190: Se han encontrado múltiples vulnerabilidades del tipo inyección SQL en Just For Fun Network Management System 0.8.3 en el archivo auth.php. La vulnerabilidad yace cuando se desactiva magic_quotes_gpc. Un atacante remoto podría ejecutar comandos SQL de forma arbitraria a través de los parámetros user y pass. - CVE-2007-3191: Se ha encontrado una vulnerabilidad en Just For Fun Network Management System 0.8.3. La vulnerabilidad reside en un error no especificado. Un atacante remoto podría obtener información sobre la configuración del sistema mediante una petición directa a admin/adm/test.php. |
|
Solución |
|
Actualización de software Debian (DSA 1374-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1.orig.tar.gz http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.dsc http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.diff.gz Architecture independent http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1_all.deb |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2007-3189 CVE-2007-3190 CVE-2007-3191 |
BID | 24414 |
Recursos adicionales |
|
Debian Security Advisory (DSA 1374-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2007/msg00140.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2007-09-12 |