Vulnerability Bulletins |
Ejecución comandos shell arbitrarios en YARSSR |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | YARSSR 0.2.2 |
Description |
|
|
Se ha descubierto una vulnerabilidad en el lector y agregador de RSS YARSSR 0.2.2. La vulnerabilidad reside en un error en la validación de la entrada en el módulo "GUI.pm". Un atacante remoto podría ejecutar comandos 'shell' arbitrarios mediante un canal RSS especialmente diseñado. |
|
Solution |
|
|
Actualización de software Debian (DSA-1477-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/y/yarssr/yarssr_0.2.2-1etch1.diff.gz http://security.debian.org/pool/updates/main/y/yarssr/yarssr_0.2.2.orig.tar.gz http://security.debian.org/pool/updates/main/y/yarssr/yarssr_0.2.2-1etch1.dsc Arquitectura independiente http://security.debian.org/pool/updates/main/y/yarssr/yarssr_0.2.2-1etch1_all.deb |
|
Standar resources |
|
| Property | Value |
| CVE | CVE-2007-5837 |
| BID | 26273 |
Other resources |
|
|
Debian Security Advisory (DSA-1477-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2008/msg00039.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2008-01-29 |