Vulnerability Bulletins |
Cross-Site Scripting en el módulo Perl CGI.pm y Safe.pm |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Confidencialidad |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software |
CGI.pm Safe.pm |
Description |
|
|
Se ha descubierto una vulnerabilidad en el modulo CGI.pm y Safe.pm de Perl en Linux, que puede causar que un sitio web con estos módulos instalados sea usado para realizar ataques de "Cross-site scripting". - CAN-2003-0615: Este fallo reside en la función "start_form" del módulo y puede ser explotado utilizando un URL maliciosa construida con esta función para insertar web scripts arbitrarios en una nueva página generada. Explotando esta vulnerabilidad un atacante podría robar las "cookies" de los usuarios que visiten los sitios web vulnerables. - CAN-2002-1323: Esta vulnerabilidad podría permitir atacantes remotos salir de los compartimentos seguros en (1) Safe::reval o (2) Safe::rdo mediante una variable redefinida con @_. |
|
Solution |
|
|
Actualización de software Sun Solaris 8 / SPARC / Parche 122091-01 Solaris 8 / x86 / Parche 122092-01 Solaris 9 / SPARC / (perl v5.005_03) Parche 121996-01 Solaris 9 / SPARC / (perl v5.6.1) Parche 119449-01 Solaris 9 / x86 / (perl v5.005_03) patch 121997-02 Solaris 9 / x86 / (perl v5.6.1) Parche 119450-01 http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage |
|
Standar resources |
|
| Property | Value |
| CVE |
CAN-2003-0615 CAN-2002-1323 |
| BID | 6111 |
Other resources |
|
|
Linux Debian security advisory DSA-371 11-8-2003 http://www.debian.org/security/2003/dsa-371 Linux RedHat security advisory RHSA-2003:256 22-9-2003 http://www.redhat.com/support/errata/RHSA-2003-256.html Sun(sm) Alert Notification 101426 http://sunsolve.sun.com/search/document.do?assetkey=1-26-101426-1 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2003-09-24 |
| 1.1 | Aviso actualizado por Sun (101426) | 2005-06-23 |
| 1.2 | Aviso actualizado por Sun (101426). CVE añadido. | 2006-02-03 |
| 1.3 | Aviso actualizado por Sun (101426) | 2006-02-14 |
| 1.4 | Aviso actualizado por Sun (101426) | 2006-03-10 |
| 1.5 | Aviso actualizado por Sun (101426) | 2006-03-22 |