int(4018)

Boletines de Vulnerabilidades


Obtención de información sensible en el demonio ftp de IBM AIX

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Confidencialidad
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado UNIX
Software afectado IBM AIX 5.2
IBM AIX 5.3
IBM AIX 6.1

Descripción

Se ha encontrado una vulnerabilidad en el demonio ftp de IBM AIX 5.2, 5.3 y 6.1. La vulnerabilidad reside en un error en el comando "quote cwd" que revela la ruta completa del directorio "home" del usuario ftp.

Un atacante remoto podría obtener información sobre la ruta de instalación mediante el comando "quote cwd" en un servidor ftpd con el login anónimo activado.

Solución



Actualización de software

IBM
AIX 5.2.0 - APAR IZ18670 (Disponible el 20/06/2008)
http://www.ibm.com/support/docview.wss?uid=isg1IZ18670
AIX 5.3.0 - APAR IZ22357 (Disponible el 20/06/2008)
http://www.ibm.com/support/docview.wss?uid=isg1IZ22357
AIX 5.3.7 - APAR IZ22358 (Disponible el 20/06/2008)
http://www.ibm.com/support/docview.wss?uid=isg1IZ22358
AIX 5.3.8 - APAR IZ21529 (Disponible el 20/06/2008)
http://www.ibm.com/support/docview.wss?uid=isg1IZ21529
AIX 6.1.0 - APAR IZ22356 (Disponible el 20/06/2008)
http://www.ibm.com/support/docview.wss?uid=isg1IZ22356

Identificadores estándar

Propiedad Valor
CVE CVE-1999-0201
BID

Recursos adicionales

IBM Security Advisory
http://www14.software.ibm.com/webapp/set2/subscriptions/ijhifoeblist?mode=7&heading=AIX61&path=/200805/SECURITY/20080521/datafile112425

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2008-05-23

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT