Miembros de
Boletines de Vulnerabilidades |
Ejecución de comandos shell en Gforge |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado | Gforge |
Descripción |
|
|
Se ha encontrado una vulnerabilidad en Gforge en la interfaz exploradora de CVS. La vulnerabilidad reside en un error al realizar un escape insuficiente de URLs. Un atacante remoto podría ejecutar comandos shell arbitrarios con los privilegios del usuario www-data. |
|
Solución |
|
|
Actualización de software Debian Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/g/gforge-plugin-scmcvs/gforge-plugin-scmcvs_4.5.14-5etch1.dsc http://security.debian.org/pool/updates/main/g/gforge-plugin-scmcvs/gforge-plugin-scmcvs_4.5.14-5etch1.tar.gz Architecture independent http://security.debian.org/pool/updates/main/g/gforge-plugin-scmcvs/gforge-plugin-scmcvs_4.5.14-5etch1_all.deb |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2007-0246 |
| BID | |
Recursos adicionales |
|
|
Debian Security Advisory (DSA 1297-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2007/msg00056.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2007-05-25 |