int(3424)

Vulnerability Bulletins

Múltiples vulnerabilidades en Just For Fun Network Management System

Vulnerability classification
Property Value
Confidence level Oficial
Impact Obtener acceso
Dificulty Experto
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information
Property Value
Affected manufacturer GNU/Linux
Affected software Just For Fun Network Management System 0.8.3

Description
Se han encontrado múltiples vulnerabilidades en Just For Fun Network Management System. Las vulnerabilidades son descritas a continuación.

- CVE-2007-3189: Se ha encontrado una vulnerabilidad del tipo cross-site scripting en Just For Fun Network Management System 0.8.3. La vulnerabilidad reside en un error no especificado. Un atacante remoto podría inyectar código script web o HTML mediante el parámetro user.

- CVE-2007-3190: Se han encontrado múltiples vulnerabilidades del tipo inyección SQL en Just For Fun Network Management System 0.8.3 en el archivo auth.php. La vulnerabilidad yace cuando se desactiva magic_quotes_gpc. Un atacante remoto podría ejecutar comandos SQL de forma arbitraria a través de los parámetros user y pass.

- CVE-2007-3191: Se ha encontrado una vulnerabilidad en Just For Fun Network Management System 0.8.3. La vulnerabilidad reside en un error no especificado. Un atacante remoto podría obtener información sobre la configuración del sistema mediante una petición directa a admin/adm/test.php.

Solution


Actualización de software

Debian (DSA 1374-1)

Debian Linux 4.0
Source
http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1.orig.tar.gz
http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.dsc
http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.diff.gz
Architecture independent
http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1_all.deb

Standar resources
Property Value
CVE CVE-2007-3189
CVE-2007-3190
CVE-2007-3191
BID 24414

Other resources
Debian Security Advisory (DSA 1374-1)
http://lists.debian.org/debian-security-announce/debian-security-announce-2007/msg00140.html

Version history
Version Comments Date
1.0 Aviso emitido 2007-09-12
Ministerio de Defensa
CNI
CCN
CCN-CERT