int(278)

Boletines de Vulnerabilidades


Vulnerabilidad en rxvt

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de privilegios
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado rxvt 2.6.1

Descripción

Rxvt es un emulador de terminal VT102 en color para el sistema X Window.

Se ha detectado una vulnerabilidad en rxvt por la que un atacante podría llegar a ejecutar código arbitrario en el sistema en que está ejecutando el programa. Este software permite realizar cambios en los títulos de las ventanas, de esta manera el atacante puede introducir secuencias de escape que incluyan comandos arbitrarios en el título del terminal. La barra de menú también permite añadir items que contengan código arbitrario y se ejecutará en el momento en que se acceda a dichos menús.

Estas vulnerabilidades pueden dar lugar a un compromiso remoto o a una escalada de privilegios.

Solución

Aplique los mecanismos de actualización propios de su distribución, o bien obtenga las fuentes del software y compílelo usted mismo.

Identificadores estándar

Propiedad Valor
CVE CAN-2003-0022
CAN-2003-0023
CAN-2003-0066
BID

Recursos adicionales

BUGTRAQ: Terminal Emulator Security Issues
http://marc.theaimsgroup.com/?l=bugtraq&m=104612710031920

RedHat: Updated rxvt packages fix various vulnerabilites
https://listman.redhat.com/pipermail/redhat-announce-list/2003-March/002814.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2003-03-25

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT