int(1444)

Boletines de Vulnerabilidades


Vulnerabilidades de cross-site scripting en Solaris AnswerBook2 Documentation Server

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado UNIX
Software afectado Solaris AnswerBook2 Documentation Server <=1.4.4

Descripción

Se han descubierto dos vulnerabilidades de cross site scripting en la versión 1.4.4 y anteriores de Solaris AnswerBook2 Documentation Server. Las vulnerabilidades residen en las funcionalidades de búsqueda y visualización de archivos de logs.

La explotación de estas vulnerabilidades podría permitir a un atacante remoto ejecutar código arbitrario en máquinas de terceros mediante la aplicación afectada.

Solución

Los sitios que tienen configurado AnswerBook2 Documentation Server deberían desactivarlo. Para deshabilitar AnswerBook2 Documentation Server se pueden ejecutar los siguientes comandos como "root":
# /usr/lib/ab2/bin/ab2admin -o stop
# /usr/lib/ab2/bin/ab2admin -o autostart_no

Identificadores estándar

Propiedad Valor
CVE CAN-2005-0548
CAN-2005-0549
BID

Recursos adicionales

Sun(sm) Alert Notification 57737
http://sunsolve.sun.com/search/document.do?assetkey=1-26-57737-1

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2005-03-14

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT