Miembros de
Boletines de Vulnerabilidades |
Ejecución de comandos en Netrik |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado | Netrik <= 1.15.4 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad en Netrik 1.15.4 y en versiones anteriores. La vulnerabilidad reside en un error en la función "edit_textarea()" en el archivo form-file.c que no verifica correctamente los nombres de archivo temporales cuando se modifican campos de texto. Un atacante remoto podría ejecutar comandos arbitrarios mediante metacarácteres de la shell en nombres de archivos. |
|
Solución |
|
|
Actualización de software Debian Debian Linux 3.1 Source http://security.debian.org/pool/updates/main/n/netrik/netrik_1.15.3-1sarge1.dsc http://security.debian.org/pool/updates/main/n/netrik/netrik_1.15.3-1sarge1.diff.gz http://security.debian.org/pool/updates/main/n/netrik/netrik_1.15.3.orig.tar.gz Alpha http://security.debian.org/pool/updates/main/n/netrik/netrik_1.15.3-1sarge1_alpha.deb AMD64 http://security.debian.org/pool/updates/main/n/netrik/netrik_1.15.3-1sarge1_amd64.deb ARM http://security.debian.org/pool/updates/main/n/netrik/netrik_1.15.3-1sarge1_arm.deb HP Precision http://security.debian.org/pool/updates/main/n/netrik/netrik_1.15.3-1sarge1_hppa.deb Intel IA-32 http://security.debian.org/pool/updates/main/n/netrik/netrik_1.15.3-1sarge1_i386.deb Intel IA-64 http://security.debian.org/pool/updates/main/n/netrik/netrik_1.15.3-1sarge1_ia64.deb Motorola 680x0 http://security.debian.org/pool/updates/main/n/netrik/netrik_1.15.3-1sarge1_m68k.deb Big endian MIPS http://security.debian.org/pool/updates/main/n/netrik/netrik_1.15.3-1sarge1_mips.deb Little endian MIPS http://security.debian.org/pool/updates/main/n/netrik/netrik_1.15.3-1sarge1_mipsel.deb PowerPC http://security.debian.org/pool/updates/main/n/netrik/netrik_1.15.3-1sarge1_powerpc.deb IBM S/390 http://security.debian.org/pool/updates/main/n/netrik/netrik_1.15.3-1sarge1_s390.deb Sun Sparc http://security.debian.org/pool/updates/main/n/netrik/netrik_1.15.3-1sarge1_sparc.deb |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2006-6678 |
| BID | |
Recursos adicionales |
|
|
Debian Security Advisory (DSA 1251-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2007/msg00006.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2007-01-22 |