Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en el cliente eMule/xMule/Lmule |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Exotic Software |
Software afectado |
emule <= 0.29c xmule <= 1.4.2 (stable) xmule <= 1.5.6a (unstable) lmule <= 1.3.1 |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en los clientes de compartición de archivos eMule/Lmule/xMule, que están basados en la red eDonkey2000. Estos fallos son: 1.- Vulnerabilidad de formato en OP_SERVERMESSAGE Existe una vulnerabilidad de formato en una función que puede ser usada por un servidor malicioso para tirar un sistema o ganar acceso a él. 2.- Desbordamiento de búfer en OP_SERVERIDENT Cuando un paquete serverident es recibido desde el servidor, es parseado de una forma insegura que puede causar un denegación de servicio o puede permitir el acceso a atacantes remotos. 3.- Vulnerabilidades de formato en Servername Varias formas de añadir un servidor con un nombre que contenga especificadores de cadenas de formato puede producir una denegación de servicio al cliente. 4.- Vulnerabilidad de destrucción de objetos AttachToAlreadyKnown Cuando el cliente recibe una secuencia especial de paquetes una situación de error puede ser producida dónde el objeto de un cliente es borrado. |
|
Solución |
|
Actualización de software eMule Actualice a eMule versión 0.30a http://www.emule-project.net/ Lmule No hay ninguna solución disponible para Lmule, que no tendrá soporte en el futuro. xMule Descargue una versión actualizada http://sourceforge.net/projects/xmule |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | |
BID | |
Recursos adicionales |
|
Security e-matters Advisory 02/2003 17-08-2003 http://security.e-matters.de/advisories/022003.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2003-08-19 |