Boletines de Vulnerabilidades |
Acceso no autorizado en nd de Linux |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | nd <= 0.8.1 |
Descripción |
|
Múltiples vulanerabilidades han sido descubiertas en nd, una interfaz de línea de comandos para WebDAV, por las cuales se podrían desbordar ciertos búfers de tamaño fijo al enviar cadenas largas a un servidor. Esta vulnerabilidad puede ser explotada desde el servidor WebDAV cuando la víctima conecta a dicho servidor con nd. Nótese que, si bien sólo Debian ha emitido un aviso al respecto, esta vulneabilidad afecta a cualquier distribución que incluya una versión vulnerable del paquete "nd". |
|
Solución |
|
Aplique los mecanismos de actualización propios de su distribución, o bien obtenga las fuentes del software y compílelo usted mismo. Actualización de software nd La versión 0.8.2 corrige este problema http://www.gohome.org/nd/ Debian Linux Debian GNU/Linux 3.0 (woody) Fuentes: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1.dsc http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1.diff.gz http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0.orig.tar.gz Plataforma Alpha: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_alpha.deb Plataforma ARM: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_arm.deb Plataforma Intel IA-32: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_i386.deb Plataforma Intel IA-64: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_ia64.deb Plataforma HPPA: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_hppa.deb Plataforma Motorola 680x0: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_m68k.deb Plataforma MIPS big-endian: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_mips.deb Plataforma MIPS little-endian: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_mipsel.deb Plataforma PowerPC: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_powerpc.deb Plataforma IBM S/390: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_s390.deb Plataforma Sun Sparc: http://security.debian.org/pool/updates/main/n/nd/nd_0.5.0-1woody1_sparc.deb |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2004-0014 |
BID | |
Recursos adicionales |
|
Debian Security Advisory DSA-412-1 http://www.debian.org/security/2004/dsa-412 ISS X-Force Advisory http://xforce.iss.net/xforce/xfdb/14141 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2004-01-06 |