Vulnerability Bulletins |
Vulnerabilidad de directorio transversal en Crystal Reports y Crystal Enterprise |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Aumento de la visibilidad |
| Dificulty | Principiante |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | Microsoft |
| Affected software |
Visual Studio .NET 2003 Outlook 2003 & Business Contact Manager Microsoft Business Solutions CRM 1.2 WebLogic Platform 8.1 <=Service Pack 2 |
Description |
|
|
Se ha descubierto una vulnerabilidad de directorio transversal en Crystal Reports y Crystal Enterprise. Microsoft Visual Studio .NET 2003 y Outlook 2003 con Business Contact Manager redistribuyen Crystal Reports y por lo tanto también están afectados por esta vulnerabilidad. Igualmente Microsoft Business Solutions CRM 1.2 redistribuye Crystal Enterprise y es también vulnerable. La explotación de esta vulnerabilidad podría permitir a un atacante remoto provocar una situación de denegación de servicio así como obtener y borrar archivos de un sistema afectado a través de la interfaz Web de Crystal Reports y Crystal Enterprise Web. El número de archivos comprometidos por esta vulnerabilidad dependerá del contexto de seguridad del componente afectado que este siendo utilizado por el visor Crystal Web. Destacar que un sistema será vulnerable solo si tiene instalado Internet Information Services (IIS). BEA WebLogic 8.1 también incluye Crystal Reports y por lo tanto se ve afectado por esta vulnerabilidad. |
|
Solution |
|
|
Actualización de software Microsoft Visual Studio .NET 2003 http://www.microsoft.com/downloads/details.aspx?FamilyId=659CA40E-808D-431D-A7D3-33BC3ACE922D Outlook 2003 & Business Contact Manager http://www.microsoft.com/downloads/details.aspx?FamilyId=9016B9F3-BA86-4A95-9D89-E120EF2E85E3 Microsoft Business Solutions CRM 1.2 ftp://ftp1.businessobjects.com/outgoing/ehf/CriticalUpdate/mscrm12_critical_update_win.zip BEA WebLogic 8.1 Windows ftp://ftp1.businessobjects.com/outgoing/ehf/CriticalUpdate/bea81_critical_update_win.zip Solaris ftp://ftp1.businessobjects.com/outgoing/ehf/CriticalUpdate/bea81_critical_update_unix.tar.gz Linux ftp://ftp1.businessobjects.com/outgoing/ehf/CriticalUpdate/bea81_critical_update_unix.tar.gz |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2004-0204 |
| BID | |
Other resources |
|
|
Microsoft Security Bulletin MS04-017 http://www.microsoft.com/technet/security/Bulletin/MS04-017.mspx BEA Security Advisory BEA04-63.00 http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_63.00.jsp |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2004-06-09 |
| 1.1 | Aviso emitido por BEA (BEA04-63.00) | 2004-06-29 |