int(2383)

Vulnerability Bulletins

Obtención de nombre de usuario válidos en Webcalendar

Vulnerability classification
Property Value
Confidence level Oficial
Impact Aumento de la visibilidad
Dificulty Experto
Required attacker level Acceso remoto sin cuenta a un servicio exotico

System information
Property Value
Affected manufacturer GNU/Linux
Affected software WebCalendar 1.0.1 to 1.0.3

Description
Se ha descubierto una vulnerabilidad en WebCalendar 1.0.1 hasta 1.0.3. La vulnerabilidad reside en que al intentar acceder al sistema se devuelven diferentes errores según si es incorrecto el nombre de usuario o la contraseña.

Un atacante remoto podría obtener información sobre nombres de usuario válidos.

Solution


Actualización de software

Debian

Debian Linux 3.1
Source
http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45-4sarge4.dsc
http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45-4sarge4.diff.gz
http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45.orig.tar.gz
Architecture independent
http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45-4sarge4_all.deb

Standar resources
Property Value
CVE CVE-2006-2247
BID 17853

Other resources
Debian Security Advisory (DSA 1056-1)
http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00141.html

Version history
Version Comments Date
1.0 Aviso emitido 2006-05-15
Ministerio de Defensa
CNI
CCN
CCN-CERT