int(1638)

Vulnerability Bulletins

Vulnerabilidad en sysreport sobre Red Hat Linux

Vulnerability classification
Property Value
Confidence level Oficial
Impact Aumento de la visibilidad
Dificulty Principiante
Required attacker level Acceso remoto con cuenta

System information
Property Value
Affected manufacturer GNU/Linux
Affected software Sysreport / Red Hat Linux

Description
Se ha descubierto una vulnerabilidad en el paquete sysreport distribuido con Red Hat Linux.

La vulnerabilidad reside en que cuando sysreport es ejecutado por el usuario root se incluye el contenido del archivo /etc/sysconfig/rhn/up2date en el informe que se genera. Como consecuencia, si up2date ha sido configurado para utilizar un proxy que requiere autenticación la contraseña se incluirá en el informe del sistema que genera sysreport.

Solution


Actualización de software

Red Hat Linux
Red Hat Desktop (v. 3)
Red Hat Desktop (v. 4)
Red Hat Enterprise Linux AS (v. 2.1)
Red Hat Enterprise Linux AS (v. 3)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux ES (v. 2.1)
Red Hat Enterprise Linux ES (v. 3)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux WS (v. 2.1)
Red Hat Enterprise Linux WS (v. 3)
Red Hat Enterprise Linux WS (v. 4)
Red Hat Linux Advanced Workstation 2.1 Itanium Processor
https://rhn.redhat.com/

Standar resources
Property Value
CVE CAN-2005-1760
BID

Other resources
Red Hat Security Advisory RHSA-2005:502-03
https://rhn.redhat.com/errata/RHSA-2005-502.html

Version history
Version Comments Date
1.0 Aviso emitido 2005-06-14
Ministerio de Defensa
CNI
CCN
CCN-CERT