Vulnerability Bulletins |
Acceso no autorizado en nd de Linux |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | nd <= 0.8.1 |
Description |
|
|
Múltiples vulanerabilidades han sido descubiertas en nd, una interfaz de línea de comandos para WebDAV, por las cuales se podrían desbordar ciertos búfers de tamaño fijo al enviar cadenas largas a un servidor. Esta vulnerabilidad puede ser explotada desde el servidor WebDAV cuando la víctima conecta a dicho servidor con nd. Nótese que, si bien sólo Debian ha emitido un aviso al respecto, esta vulneabilidad afecta a cualquier distribución que incluya una versión vulnerable del paquete "nd". |
|
Solution |
|
|
Aplique los mecanismos de actualización propios de su distribución, o bien obtenga las fuentes del software y compílelo usted mismo. Actualización de software nd La versión 0.8.2 corrige este problema http://www.gohome.org/nd/ Debian Linux Debian GNU/Linux 3.0 (woody) Fuentes: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1.dsc http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1.diff.gz http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0.orig.tar.gz Plataforma Alpha: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_alpha.deb Plataforma ARM: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_arm.deb Plataforma Intel IA-32: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_i386.deb Plataforma Intel IA-64: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_ia64.deb Plataforma HPPA: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_hppa.deb Plataforma Motorola 680x0: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_m68k.deb Plataforma MIPS big-endian: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_mips.deb Plataforma MIPS little-endian: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_mipsel.deb Plataforma PowerPC: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_powerpc.deb Plataforma IBM S/390: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_s390.deb Plataforma Sun Sparc: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_sparc.deb |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2004-0014 |
| BID | |
Other resources |
|
|
Debian Security Advisory DSA-412-1 http://www.debian.org/security/2004/dsa-412 ISS X-Force Advisory http://xforce.iss.net/xforce/xfdb/14141 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2004-01-06 |