Boletines de Vulnerabilidades |
Vulnerabilidad de directorio transversal en Crystal Reports y Crystal Enterprise |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de la visibilidad |
Dificultad | Principiante |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Microsoft |
Software afectado |
Visual Studio .NET 2003 Outlook 2003 & Business Contact Manager Microsoft Business Solutions CRM 1.2 WebLogic Platform 8.1 <=Service Pack 2 |
Descripción |
|
Se ha descubierto una vulnerabilidad de directorio transversal en Crystal Reports y Crystal Enterprise. Microsoft Visual Studio .NET 2003 y Outlook 2003 con Business Contact Manager redistribuyen Crystal Reports y por lo tanto también están afectados por esta vulnerabilidad. Igualmente Microsoft Business Solutions CRM 1.2 redistribuye Crystal Enterprise y es también vulnerable. La explotación de esta vulnerabilidad podría permitir a un atacante remoto provocar una situación de denegación de servicio así como obtener y borrar archivos de un sistema afectado a través de la interfaz Web de Crystal Reports y Crystal Enterprise Web. El número de archivos comprometidos por esta vulnerabilidad dependerá del contexto de seguridad del componente afectado que este siendo utilizado por el visor Crystal Web. Destacar que un sistema será vulnerable solo si tiene instalado Internet Information Services (IIS). BEA WebLogic 8.1 también incluye Crystal Reports y por lo tanto se ve afectado por esta vulnerabilidad. |
|
Solución |
|
Actualización de software Microsoft Visual Studio .NET 2003 http://www.microsoft.com/downloads/details.aspx?FamilyId=659CA40E-808D-431D-A7D3-33BC3ACE922D Outlook 2003 & Business Contact Manager http://www.microsoft.com/downloads/details.aspx?FamilyId=9016B9F3-BA86-4A95-9D89-E120EF2E85E3 Microsoft Business Solutions CRM 1.2 ftp://ftp1.businessobjects.com/outgoing/ehf/CriticalUpdate/mscrm12_critical_update_win.zip BEA WebLogic 8.1 Windows ftp://ftp1.businessobjects.com/outgoing/ehf/CriticalUpdate/bea81_critical_update_win.zip Solaris ftp://ftp1.businessobjects.com/outgoing/ehf/CriticalUpdate/bea81_critical_update_unix.tar.gz Linux ftp://ftp1.businessobjects.com/outgoing/ehf/CriticalUpdate/bea81_critical_update_unix.tar.gz |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2004-0204 |
BID | |
Recursos adicionales |
|
Microsoft Security Bulletin MS04-017 http://www.microsoft.com/technet/security/Bulletin/MS04-017.mspx BEA Security Advisory BEA04-63.00 http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_63.00.jsp |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2004-06-09 |
1.1 | Aviso emitido por BEA (BEA04-63.00) | 2004-06-29 |