Boletines de Vulnerabilidades

int(5314)

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en ZoneCheck
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Oficial
Impacto	Aumento de la visibilidad
Dificultad	Avanzado
Requerimientos del atacante	Acceso remoto sin cuenta a un servicio estandar
Información sobre el sistema
Propiedad	Valor
Fabricante afectado	GNU/Linux
Software afectado	ZoneCheck <= 2.1.0
Descripción
Se han descubierto múltiples vulnerabilidades de tipo cross site scripting en ZoneCheck. Las vulnerabilidades son descritas a continuación: - CVE-2010-2052: Un atacante remoto podría inyectar código arbitrario script o html mediante métodos no especificados. - CVE-2010-2155: Se ha descubierto una vulnerabilidad en ZoneCheck 2.1.0. La vulnerabilidad reside en un error en "zc/publisher/html.rb". Un atacante remoto podría inyectar código arbitrario script o html mediante métodos relativos a "xmlnode.value", "zc-error", "$zc_version" y nombre de dominio en una fila " zc-title". - CVE-2009-4882: Se ha descubierto una vulnerabilidad en ZoneCheck 2.0.4-13 y 2.1.0. La vulnerabilidad reside en un error en "zc/publisher/html.rb". Un atacante remoto podría inyectar código arbitrario script o html mediante el parámetro 'ns' en zc.cgi".
Solución
Actualización de software Debian (DSA 2056-1) Debian Linux 5.0 Source http://security.debian.org/pool/updates/main/z/zonecheck/zonecheck_2.0.4.orig.tar.gz http://security.debian.org/pool/updates/main/z/zonecheck/zonecheck_2.0.4-13lenny1.dsc http://security.debian.org/pool/updates/main/z/zonecheck/zonecheck_2.0.4-13lenny1.diff.gz independent packages: http://security.debian.org/pool/updates/main/z/zonecheck/zonecheck-cgi_2.0.4-13lenny1_all.deb http://security.debian.org/pool/updates/main/z/zonecheck/zonecheck_2.0.4-13lenny1_all.deb
Identificadores estándar
Propiedad	Valor
CVE	CVE-2010-2052 CVE-2010-2155 CVE-2009-4882
BID
Recursos adicionales
Debian Security Advisory (DSA 2056-1) http://lists.debian.org/debian-security-announce/2010/msg00099.html