Boletines de Vulnerabilidades

int(4395)

Boletines de Vulnerabilidades

Inyección SQL en Gforge
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Oficial
Impacto	Obtener acceso
Dificultad	Experto
Requerimientos del atacante	Acceso remoto sin cuenta a un servicio estandar
Información sobre el sistema
Propiedad	Valor
Fabricante afectado	GNU/Linux
Software afectado	Gforge 4.5 y 4.6
Descripción
Se ha descubierto una vulnerabilidad en Gforge 4.x. La vulnerabilidad reside en un error en la funcion "create" en "common/include/GroupJoinRequest.class". Un atacante remoto podría ejecutar comandos SQL arbitrarios mediante la variable "comments".
Solución
Actualización de software Debian (DSA-1698-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14.orig.tar.gz http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch9.diff.gz http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch10.diff.gz http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch10.dsc http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch9.dsc Arquitectura independiente: http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch10_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_4.5.14-22etch10_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_4.5.14-22etch10_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_4.5.14-22etch9_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_4.5.14-22etch9_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-courier_4.5.14-22etch9_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_4.5.14-22etch10_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-common_4.5.14-22etch9_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_4.5.14-22etch10_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-postgresql_4.5.14-22etch9_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_4.5.14-22etch9_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-common_4.5.14-22etch10_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim_4.5.14-22etch9_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_4.5.14-22etch10_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch9_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_4.5.14-22etch9_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-courier_4.5.14-22etch10_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_4.5.14-22etch9_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-ldap_4.5.14-22etch9_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_4.5.14-22etch10_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-ldap-openldap_4.5.14-22etch10_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-ldap_4.5.14-22etch10_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-ldap-openldap_4.5.14-22etch9_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-postgresql_4.5.14-22etch10_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_4.5.14-22etch9_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_4.5.14-22etch10_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_4.5.14-22etch9_all.deb http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim_4.5.14-22etch10_all.deb
Identificadores estándar
Propiedad	Valor
CVE	CVE-2008-2381
BID
Recursos adicionales
Debian Security Advisory (DSA-1698-1) http://lists.debian.org/debian-security-announce/2009/msg00005.html