Vulnerability Bulletins |
Inyección de comandos en el plugin S/MIME de Squirrelmail |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software |
Squirrelmail S/MIME plugin 0.5 Squirrelmail S/MIME plugin 0.4 |
Description |
|
|
Se ha descubierto una vulnerabilidad en las versiones 0.5 y 0.4 del plugin S/MIME de Squirrelmail. La vulnerabilidad reside en un error de validación de la entrada que se utiliza posteriormente como argumento para una llamada exec(). La explotación de esta vulnerabilidad podría permitir a un usuario autenticado en Squirrelmail ejecutar comandos arbitrarios en el servidor con los privilegios del servidor Web. |
|
Solution |
|
|
Actualización de software S/MIME plugin S/MIME plugin 0.6 http://www.squirrelmail.org/plugin_view.php?id=54 SUSE Linux Actualizar mediante YaST Online Update |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2005-0239 |
| BID | |
Other resources |
|
|
iDEFENSE Security Advisory 02.07.05 ID 191 http://www.idefense.com/application/poi/display?id=191&type=vulnerabilities SUSE Security Summary Report SUSE-SR:2005:008 http://www.novell.com/linux/security/advisories/2005_08_sr.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2005-02-08 |
| 1.1 | CAN añadido | 2005-02-24 |
| 1.2 | Aviso emitido por SUSE (SUSE-SR:2005:008) | 2005-03-21 |