Vulnerability Bulletins |
Ejecución de comandos mediante la interfaz administrativa del servidor Cobalt RaQ4 |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Compromiso Root |
| Dificulty | Principiante |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | Networking |
| Affected software | Sun Cobalt RaQ 4.0 |
Description |
|
|
Cobalt RaQ 4.0 es un servidor de aplicaciones de Sun Microsystems. Esta vulnerabilidad afecta a los servidores con el paquete Security Hardening (SHP) instalado. Nótese que SHP no se instala por defecto en estos sistemas. Existe una vulnerabilidad en la interfaz de admnistración vía web de este servidor que permite a un atacante ejecutar comandos, a través del envío al script CGI vulnerable de un parámetro de correo electrónico manipulado. |
|
Solution |
|
|
Actualización de software Visite la página web del fabricante para obtener un parche para esta vulnerabilidad http://sunsolve.sun.com/patches/cobalt/raq4.eng.html Entretanto, Sun ha proporcionado el siguiente parche que desinstala el paquete SHP http://ftp.cobalt.sun.com/pub/packages/raq4/eng/RaQ4-en-Security-2.0.1-SHP_REM.pkg |
|
Standar resources |
|
| Property | Value |
| CVE | |
| BID | |
Other resources |
|
|
Bugtraq ID: 6326 http://online.securityfocus.com/bid/6326 Securitytracker: Sun Cobalt RaQ 4 Security Hardening Package CGI Input Validation Flaw Lets Remote Users Gain Root Access http://securitytracker.com/alerts/2002/Dec/1005769.html Bugtraq: Cobalt RaQ4 Remote root exploit http://archives.neohapsis.com/archives/bugtraq/2002-12/0056.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2003-12-12 |