Coordinación de Seguridad de la Información

Coordinación de Seguridad de la Información

Información y servicios de seguridad en cómputo

1 2 3 4 5 6 7

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-125 Múltiples vulnerabilidades en Pico Server

Se reportarón varias vulnerabilidades en Pico Server, pueden explotarse para obtener información sensible o comprometer un sistema vulnerable.

  • Fecha de Liberación: 17-May-2005
  • Fuente:

    RedTeam Advisory
    rt-sa-2005-010

  • Riesgo Altamente crítico

Sistemas Afectados

Pico Server (pServ) 3.2

Sistemas No Afectados

Pico Server (pServ) >= 3.3
  1. Descripción

    RedTeam reportó varias vulnerabilidades en Pico Server, pueden explotarse por usuarios locales maliciosos para obtener información sensible, por personas maliciosas para obtener información sensible o comprometer un sistema vulnerable.

    1) Un error de validación de entrada en el soporte de CGI-BIN puede explotarse para mostrar el contenido de los archivos en el directorio "cgi-bin/" o ejecutar comandos arbitrarios en un sistema vulnerable, via ataques de "directory traversal".

    Una explotación exitosa requiere que la aplicación sea compilada con soporte para CGI-BIN.

    2) Un usuario malicioso local con permisos para crear archivos en el directorio raiz de Web puede obtener el contenido de archivos arbitrarios con los privilegios del Pico Server via ligas simbólicas.

  2. Impacto

    Exposición de información sensible.

    Acceso remoto al sistema.

  3. Soluciones

    Actualizar a la versión 3.3 y dar permisos de crear archivos en el directorio raiz de Web solo a usuarios confiables.

  4. Apendices

    Mayor información.

    http://tsyklon.informatik.rwth-aachen.de/rt-sa-2005-010/
    http://tsyklon.informatik.rwth-aachen.de/rt-sa-2005-011/
    http://tsyklon.informatik.rwth-aachen.de/rt-sa-2005-012/

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Jesús Mauricio Andrade Guzmán (mandrade at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México AENOR LOGO FIRST LOGO Aviso legal |  Créditos |  Staff |  Acerca |  Contacto |  FTP |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT