int(2240)

Vulnerability Bulletins

Inyección SQL en Zoph

Vulnerability classification
Property Value
Confidence level Oficial
Impact Confidencialidad
Dificulty Experto
Required attacker level Acceso remoto sin cuenta a un servicio exotico

System information
Property Value
Affected manufacturer GNU/Linux
Affected software Zoph < 0.5pre1

Description
Se ha descubierto una vulnerabilidad en Zoph versión anterior a 0.5pre1. La vulnerabilidad reside en un error en la validación de la entrada en la funcionalidad de búsqueda de fotografías.

Un atacante remoto podría inyectar comandos SQL arbitrarios.

Solution


Actualización de software

Debian

Debian Linux 3.1
Source
http://security.debian.org/pool/updates/main/z/zoph/zoph_0.3.3-12sarge1.dsc
http://security.debian.org/pool/updates/main/z/zoph/zoph_0.3.3-12sarge1.diff.gz
http://security.debian.org/pool/updates/main/z/zoph/zoph_0.3.3.orig.tar.gz
Architecture independent
http://security.debian.org/pool/updates/main/z/zoph/zoph_0.3.3-12sarge1_all.deb

Standar resources
Property Value
CVE CVE-2006-0402
BID 16347

Other resources
Zoph (Release Name: 0.5pre1)
http://sourceforge.net/project/shownotes.php?group_id=69353&release_id=387320

Debian Security Advisory (DSA 989-1)
http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00067.html

OSVDB (22743)
http://www.osvdb.org/22743

Version history
Version Comments Date
1.0 Aviso emitido 2006-03-09
Ministerio de Defensa
CNI
CCN
CCN-CERT