Boletines de Vulnerabilidades

int(1825)

Boletines de Vulnerabilidades

Cross-Site Request Forgery en tdiary
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Oficial
Impacto	Integridad
Dificultad	Avanzado
Requerimientos del atacante	Acceso remoto sin cuenta a un servicio exotico
Información sobre el sistema
Propiedad	Valor
Fabricante afectado	GNU/Linux
Software afectado	tdiary <= 2.0.1 tdiary <= 2.1.1
Descripción
Se ha descubierto una vulnerabilidad en tdiary versión 2.0.1 y anteriores (estable) y 2.1.1 (desarrollo). La vulnerabilidad reside en una falta de validación de las peticiones HTTP GET. La explotación de esta vulnerabilidad podría permitir a un atacante remoto alterar la información del usuario o sus preferencias en tdiary mediante un ataque Cross-Site Request Forgery. La víctima debe visitar una página maliciosa mientras su ID de sesión de tdiary aun es válido.
Solución
Actualización de software Debian Linux Debian Linux 3.1 Source http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1.dsc http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1.diff.gz http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1.orig.tar.gz Architecture independent http://security.debian.org/pool/updates/main/t/tdiary/tdiary-contrib_2.0.1-1sarge1_all.deb http://security.debian.org/pool/updates/main/t/tdiary/tdiary-mode_2.0.1-1sarge1_all.deb http://security.debian.org/pool/updates/main/t/tdiary/tdiary-plugin_2.0.1-1sarge1_all.deb http://security.debian.org/pool/updates/main/t/tdiary/tdiary-theme_2.0.1-1sarge1_all.deb http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1_all.deb
Identificadores estándar
Propiedad	Valor
CVE	CAN-2005-2411
BID
Recursos adicionales
Debian Security Advisory (DSA 808-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2005/msg00198.html