Boletines de Vulnerabilidades |
Vulnerabilidad en 'man' de UNIX y Linux |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Principiante |
Requerimientos del atacante | Acceso fisico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | man < 1.5l |
Descripción |
|
Una vulnerabilidad ha sido descubierta en el visor de manuales 'man' de sistemas UNIX y Linux. Un usuario local puede provocar que otro usuario ejecute código arbitrario en circunstancias especiales. Un usuario puede crear un archivo 'man' especial, que abierto con el visor 'man', ejecute código arbitrario contenido en un archivo separado. Cuando el programa encuentra una cierta cadena de texto, la función my_xsprintf() (ubicada en util.c") puede ejecutar un programa con un nombre concreto. Este programa se ejecutará con los privilegios de la víctima. |
|
Solución |
|
Actualización de software Descargue una versión actualizada ftp://ftp.kernel.org/pub/linux/utils/man/ |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2003-0124 |
BID | |
Recursos adicionales |
|
BUGTRAQ: http://marc.theaimsgroup.com/?l=bugtraq&m=104740927915154&w=2 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2003-03-14 |