Miembros de
Boletines de Vulnerabilidades |
Aumento de visibilidad en Geoip |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Aumento de la visibilidad |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado | Geoip |
Descripción |
|
|
Se ha descubierto una vulnerabilidad en la herramienta geoipupdate. La vulnerabilidad reside en que geoipudate falla al realizar el chequeo de los nombres de archivos de las repuestas de "GET /app/update_getfilename?product_id=%s". Un atacante remoto podría obtener ciertos archivos sensibles mediante una petición que contenga diversos ../ (punto punto barra) caracteres en el nombre del archivo pedido, como por ejemplo si la petición es ../../../../../../etc/passwd como nombre de archivo. |
|
Solución |
|
|
Actualización de software Mandriva Corporate Server 4.0 X86 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/i586/geoip-1.4.0-2.1.20060mlcs4.i586.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/i586/libgeoip1-1.4.0-2.1.20060mlcs4.i586.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/i586/libgeoip1-devel-1.4.0-2.1.20060mlcs4.i586.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/i586/libgeoipupdate0-1.4.0-2.1.20060mlcs4.i586.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/SRPMS/geoip-1.4.0-2.1.20060mlcs4.src.rpm X86_64 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/x86_64/geoip-1.4.0-2.1.20060mlcs4.x86_64.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/x86_64/lib64geoip1-1.4.0-2.1.20060mlcs4.x86_64.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/x86_64/lib64geoip1-devel-1.4.0-2.1.20060mlcs4.x86_64.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/x86_64/lib64geoipupdate0-1.4.0-2.1.20060mlcs4.x86_64.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/SRPMS/geoip-1.4.0-2.1.20060mlcs4.src.rpm |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | |
| BID | |
Recursos adicionales |
|
|
Mandriva Security Advisory (MDKSA-2007:004) http://www.mandriva.com/security/advisories?name=MDKSA-2007:004 Geoip http://arctic.org/~dean/patches/GeoIP-1.4.0-update-vulnerability.patch |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2007-01-09 |