1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-385 Actualización de Gentoo para phpGroupWare.

Gentoo liberó una actualización para phpGroupWare. Esta repara varias vulnerabilidades que pueden explotarse para realizar ataques de inserción de scripts, burlar ciertas restricciones de seguridad o comprometer un sistema vulnerable.

  • Fecha de Liberación: 31-Ago-2005
  • Fuente:

    Gentoo Linux Security Advisory
    GLSA 200508-20 / phpgroupware

  • CVE ID: CAN-2005-2498 CAN-2005-2600
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Verificación deficiente en parametros

Sistemas Afectados

Gentoo Linux 1.4 phpGroupWare 0.9.16
  1. Descripción

    Gentoo liberó una actualización para phpGroupWare. Esta repara varias vulnerabilidades que pueden explotarse por usuarios maliciosos para realizar ataques de inserción de scripts, o por personas maliciosas para burlar ciertas restricciones de seguridad o comprometer un sistema vulnerable.

    • PhpGroupWare no valida apropiadamente el parámetro "mid" recuperado de un foro. La versión actual de phpGroupWare también agrega varias protecciones para prevenir ataques XSS, y deshabilita el uso de la librería XML-RPC vulnerable.

      Ver:
      Ejecución de código PHP en etiquetas XML anidadas de XML_RPC.

      Un atacante podría explotar la vulnerabilidad en XML-RPC para ejecutar código PHP arbitrario. También podría crear una petición maliciosas que revelara mensajes privados.

  2. Impacto

    Security Bypass.

    Cross-site Scripting.

    Acceso al sistema.

  3. Solución

    Todos los usuarios de phpGroupWare deben actualizarlo a la última versión.

     # emerge --sync
     # emerge --ask --oneshot --verbose ">=www-apps/phpgroupware-0.9.16.008"
    
  4. Apéndices

    Mayor información.

    http://www.gentoo.org/
    http://www.seguridad.unam.mx/vulnerabilidades/

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT