Vulnerability Bulletins |
Múltiples vulnerabilidades en libphp-adodb |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Principiante |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software |
libphp-adodb <=4.71 moodle cacti |
Description |
|
|
Se han descubierto múltiples vulnerabilidades en libphp-adodb versión 4.71 y anteriores. Las vulnerabilidades son descritas a continuación: - CVE-2006-0146: La vulnerabilidad reside en un fallo al validar la entrada del usuario en el script "server.php". Un atacante remoto podría inyectar comandos SQL. Para que el ataque tenga éxito es necesario que la contraseña del usuario root esté vacía. - CVE-2006-0147: La vulnerabilidad reside en un fallo al validar el parámetro "do" del script "tests/tmssql.php". Un atacante remoto podría ejecutar comandos PHP. - CVE-2006-0410: La vulnerabilidad reside en un fallo al validar la entrada del usuario. Un atacante remoto podría inyectar comandos SQL. - CVE-2006-0806: La vulnerabilidad reside en un fallo al validar la entrada del usuario. Un atacante remoto podría ejecutar comandos Web script y HTML, y realizar ataques Cross-Site Scripting. |
|
Solution |
|
|
Actualización de software Debian (libphp-adodb) Debian Linux 3.0 Source http://security.debian.org/pool/updates/main/libp/libphp-adodb/libphp-adodb_1.51-1.2.dsc http://security.debian.org/pool/updates/main/libp/libphp-adodb/libphp-adodb_1.51-1.2.diff.gz http://security.debian.org/pool/updates/main/libp/libphp-adodb/libphp-adodb_1.51.orig.tar.gz Architecture independent http://security.debian.org/pool/updates/main/libp/libphp-adodb/libphp-adodb_1.51-1.2_all.deb Debian Linux 3.1 Source http://security.debian.org/pool/updates/main/libp/libphp-adodb/libphp-adodb_4.52-1sarge1.dsc http://security.debian.org/pool/updates/main/libp/libphp-adodb/libphp-adodb_4.52-1sarge1.diff.gz http://security.debian.org/pool/updates/main/libp/libphp-adodb/libphp-adodb_4.52.orig.tar.gz Architecture independent http://security.debian.org/pool/updates/main/libp/libphp-adodb/libphp-adodb_4.52-1sarge1_all.deb Debian (moodle) Debian Linux 3.1 Source http://security.debian.org/pool/updates/main/m/moodle/moodle_1.4.4.dfsg.1-3sarge1.dsc http://security.debian.org/pool/updates/main/m/moodle/moodle_1.4.4.dfsg.1-3sarge1.diff.gz http://security.debian.org/pool/updates/main/m/moodle/moodle_1.4.4.dfsg.1.orig.tar.gz Architecture independent http://security.debian.org/pool/updates/main/m/moodle/moodle_1.4.4.dfsg.1-3sarge1_all.deb Debian (cacti) Debian Linux 3.1 Source http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge3.dsc http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge3.diff.gz http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c.orig.tar.gz Architecture independent http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge3_all.deb |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2006-0146 CVE-2006-0147 CVE-2006-0410 CVE-2006-0806 |
| BID |
16187 16364 |
Other resources |
|
|
Debian Security Advisory (DSA 1029-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00112.html Debian Security Advisory (DSA 1030-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00113.html Debian Security Advisory (DSA 1031-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00114.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2006-04-10 |