Boletines de Vulnerabilidades |
Directorio transversal en PEAR |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Integridad |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | PEAR 1.0 <= 1.5.3 |
Descripción |
|
Se ha encontrado una vulnerabilidad de tipo directorio transversal en el instalador de PEAR 1.0 hasta la versión 1.5.3. La vulnerabilidad reside en un error en el archivo package.xml en las versiones 1.0 y 2.0. Un atacante remoto podría sobrescribir archivos de forma arbitraria mediante la secuencia punto punto (..) en el atributo install-as. |
|
Solución |
|
Actualización de software Mandriva Corporate Server 3.0 X86 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/i586/php-pear-4.3.4-3.3.C30mdk.noarch.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/SRPMS/php-pear-4.3.4-3.3.C30mdk.src.rpm X86_64 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/x86_64/php-pear-4.3.4-3.3.C30mdk.noarch.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/SRPMS/php-pear-4.3.4-3.3.C30mdk.src.rpm Mandriva Linux 2007 X86 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/i586/php-pear-5.1.6-1.1mdv2007.0.noarch.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/SRPMS/php-pear-5.1.6-1.1mdv2007.0.src.rpm X86_64 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/x86_64/php-pear-5.1.6-1.1mdv2007.0.noarch.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/SRPMS/php-pear-5.1.6-1.1mdv2007.0.src.rpm Corporate Server 4.0 X86 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/i586/php-pear-5.1.4-3.1.20060mlcs4.noarch.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/SRPMS/php-pear-5.1.4-3.1.20060mlcs4.src.rpm X86_64 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/x86_64/php-pear-5.1.4-3.1.20060mlcs4.noarch.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/SRPMS/php-pear-5.1.4-3.1.20060mlcs4.src.rpm Mandriva Linux 2007.1 X86 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/i586/php-pear-5.2.1-2.1mdv2007.1.noarch.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/SRPMS/php-pear-5.2.1-2.1mdv2007.1.src.rpm X86_64 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/x86_64/php-pear-5.2.1-2.1mdv2007.1.noarch.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/SRPMS/php-pear-5.2.1-2.1mdv2007.1.src.rpm |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CVE-2007-2519 |
BID | 24111 |
Recursos adicionales |
|
Mandriva Security Advisory (MDKSA-2007:110) http://www.mandriva.com/security/advisories?name=MDKSA-2007:110 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2007-06-05 |