int(340)

Vulnerability Bulletins

Vulnerabilidad en el paquete mod_auth_any de Red Hat

Vulnerability classification
Property Value
Confidence level Oficial
Impact Obtener acceso
Dificulty Experto
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information
Property Value
Affected manufacturer GNU/Linux
Affected software Red Hat 7.2
Red Hat 7.3

Description
Se ha descubierto una vulnerabilidad en el paquete mod_auth_any de Red Hat que permite a un usuario remoto ejecutar comandos arbitrarios en el servidor. El fallo reside en el paquete mod_auth_any; éste no interpreta bien los argumentos de la línea de comandos cuando llama a programas externos. Un atacante remoto puede ejecutar comandos arbitrarios en el sistema de la víctima con los privilegios del proceso del servidor Web.

Solution


Actualización de software

RedHat Linux

RedHat Linux 7.2
SRPMS
ftp://updates.redhat.com/7.2/en/os/SRPMS/mod_auth_any-1.2.2-2.src.rpm
i386
ftp://updates.redhat.com/7.2/en/os/i386/mod_auth_any-1.2.2-2.i386.rpm
ia64
ftp://updates.redhat.com/7.2/en/os/ia64/mod_auth_any-1.2.2-2.ia64.rpm

Red Hat Linux 7.3
SRPMS
ftp://updates.redhat.com/7.3/en/os/SRPMS/mod_auth_any-1.2.2-2.src.rpm
i386
ftp://updates.redhat.com/7.3/en/os/i386/mod_auth_any-1.2.2-2.i386.rpm

Standar resources
Property Value
CVE CAN-2003-0084
BID

Other resources
RedHat Security Advisory RHSA-2003 114-09
http://rhn.redhat.com/errata/RHSA-2003-114.html

Version history
Version Comments Date
1.0 Aviso emitido 2003-05-06
Ministerio de Defensa
CNI
CCN
CCN-CERT