int(3424)

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en Just For Fun Network Management System

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema
Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado Just For Fun Network Management System 0.8.3

Descripción
Se han encontrado múltiples vulnerabilidades en Just For Fun Network Management System. Las vulnerabilidades son descritas a continuación.

- CVE-2007-3189: Se ha encontrado una vulnerabilidad del tipo cross-site scripting en Just For Fun Network Management System 0.8.3. La vulnerabilidad reside en un error no especificado. Un atacante remoto podría inyectar código script web o HTML mediante el parámetro user.

- CVE-2007-3190: Se han encontrado múltiples vulnerabilidades del tipo inyección SQL en Just For Fun Network Management System 0.8.3 en el archivo auth.php. La vulnerabilidad yace cuando se desactiva magic_quotes_gpc. Un atacante remoto podría ejecutar comandos SQL de forma arbitraria a través de los parámetros user y pass.

- CVE-2007-3191: Se ha encontrado una vulnerabilidad en Just For Fun Network Management System 0.8.3. La vulnerabilidad reside en un error no especificado. Un atacante remoto podría obtener información sobre la configuración del sistema mediante una petición directa a admin/adm/test.php.

Solución


Actualización de software

Debian (DSA 1374-1)

Debian Linux 4.0
Source
http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1.orig.tar.gz
http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.dsc
http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.diff.gz
Architecture independent
http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1_all.deb

Identificadores estándar
Propiedad Valor
CVE CVE-2007-3189
CVE-2007-3190
CVE-2007-3191
BID 24414

Recursos adicionales
Debian Security Advisory (DSA 1374-1)
http://lists.debian.org/debian-security-announce/debian-security-announce-2007/msg00140.html

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2007-09-12

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT