int(2629)

Vulnerability Bulletins

Múltiples vulnerabilidades en Gallery

Vulnerability classification
Property Value
Confidence level Oficial
Impact Aumento de la visibilidad
Dificulty Avanzado
Required attacker level Acceso remoto sin cuenta a un servicio exotico

System information
Property Value
Affected manufacturer GNU/Linux
Affected software Gallery < 1.5.2

Description
Se han descubierto dos vulnerabilidades en Gallery versión anterior a 1.5.2. Las vulnerabilidades son descritas a continuación:

- CVE-2005-2734: La vulnerabilidad reside en un error al validar la entrada del usuario. Un atacante remoto podría inyectar código HTML o Web script arbitrario y realizar ataques tipo Cross-Site Scripting mediante información EXIF como la etiqueta del modelo de Cámara.

- CVE-2006-0330: La vulnerabilidad reside en un error al validar la entrada del usuario. Un atacante remoto podría inyectar código HTML o Web script arbitrario y realizar ataques tipo Cross-Site Scripting mediante vectores de ataque desconocidos pero relacionados con el nombre de usuario.

- CVE-2006-4030: La vulnerabilidad reside en un error al validar la entrada del usuario. Un atacante remoto podría causar una revelación de información.

Solution


Actualización de software

Debian

Debian Linux 3.1
Source
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.5-1sarge2.dsc
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.5-1sarge2.diff.gz
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.5.orig.tar.gz
Architecture independent
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.5-1sarge2_all.deb

Standar resources
Property Value
CVE CVE-2005-2734
CVE-2006-0330
CVE-2006-4030
BID 14668
16334

Other resources
Debian Security Advisory (DSA 1148-1)
http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00237.html

Version history
Version Comments Date
1.0 Aviso emitido 2006-08-11
Ministerio de Defensa
CNI
CCN
CCN-CERT