Miembros de
Boletines de Vulnerabilidades |
Cross-Site Scripting en Gnats y Gnatsweb |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Aumento de la visibilidad |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado |
Gnatsweb 4.00 Gnats 4.1.99 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad de tipo Cross-Site Scripting en Gnatsweb 4.0 y en Gnats 4.1.99, un sistema de gestión de avisos de problemas. La vulnerabilidad reside en un error de validación del parámetro "database" en el fichero "gnatsweb.pl". Un atacante remoto podría inyectar código javascript o HTML arbitrario mediante el parámetro "database". |
|
Solución |
|
|
Actualización de software Debian (DSA-1486-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/g/gnatsweb/gnatsweb_4.00-1etch1.dsc http://security.debian.org/pool/updates/main/g/gnatsweb/gnatsweb_4.00.orig.tar.gz http://security.debian.org/pool/updates/main/g/gnatsweb/gnatsweb_4.00-1etch1.diff.gz Independiente de la arquitectura http://security.debian.org/pool/updates/main/g/gnatsweb/gnatsweb_4.00-1etch1_all.deb |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2007-2808 |
| BID | 24081 |
Recursos adicionales |
|
|
Debian Security Advisory (DSA-1486-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2008/msg00042.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2008-02-06 |