Vulnerability Bulletins |
Vulnerabilidad en 'man' de UNIX y Linux |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Principiante |
| Required attacker level | Acceso fisico |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | man < 1.5l |
Description |
|
|
Una vulnerabilidad ha sido descubierta en el visor de manuales 'man' de sistemas UNIX y Linux. Un usuario local puede provocar que otro usuario ejecute código arbitrario en circunstancias especiales. Un usuario puede crear un archivo 'man' especial, que abierto con el visor 'man', ejecute código arbitrario contenido en un archivo separado. Cuando el programa encuentra una cierta cadena de texto, la función my_xsprintf() (ubicada en util.c") puede ejecutar un programa con un nombre concreto. Este programa se ejecutará con los privilegios de la víctima. |
|
Solution |
|
|
Actualización de software Descargue una versión actualizada ftp://ftp.kernel.org/pub/linux/utils/man/ |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2003-0124 |
| BID | |
Other resources |
|
|
BUGTRAQ: http://marc.theaimsgroup.com/?l=bugtraq&m=104740927915154&w=2 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2003-03-14 |