int(2247)

Boletines de Vulnerabilidades


Múltiple vulnerabilidades en Lurker

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Integridad
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado Lurker 2.0

Descripción

Se han descubierto múltiples vulnerabilidades en Lurker 2.0. Las vulnerabilidades son descritas a continuación:

- CVE-2006-1062: La vulnerabilidad reside en que Lurker permite especificar cual es el fichero de configuración y parte de este fichero es mostrado por pantalla sin ser procesado. Un atacante podría leer el contenido de cualquier fichero al que tenga acceso de lectura el usuario "www-data".

- CVE-2006-1063: La vulnerabilidad reside en un error no especificado. Un atacante remoto podría crear o sobrescribir ficheros arbitrarios dentro de cualquier directorio con nombre "mbox".

- CVE-2006-1064: La vulnerabilidad reside en un error en la validación de la entrada del usuario. Un atacante remoto podría inyectar código web script o HTML arbitrario.

Solución



Actualización de software

Debian

Debian Linux 3.1
Source
http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1.dsc
http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1.diff.gz
http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2.orig.tar.gz
Alpha
http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_alpha.deb
AMD64
http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_amd64.deb
ARM
http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_arm.deb
Intel IA-32
http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_i386.deb
Intel IA-64
http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_ia64.deb
HP Precision
http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_hppa.deb
Motorola 680x0
http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_m68k.deb
Big endian MIPS
http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_mips.deb
Little endian MIPS
http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_mipsel.deb
PowerPC
http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_powerpc.deb
IBM S/390
http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_s390.deb
Sun Sparc
http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_sparc.deb

Identificadores estándar

Propiedad Valor
CVE CVE-2006-1062
CVE-2006-1063
CVE-2006-1064
BID

Recursos adicionales

Debian Security Advisory (DSA 999-1)
http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00079.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2006-03-14

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT