1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2006-040 Vulnerabilidades de formato de cadena y Directory Traversal en ELOG.

Se reportaron varias vulnerabilidades en ELOG, que pueden explotarse para ocasionar una negación de servicio (DoS), burlar ciertas restricciones de seguridad, y posiblemenete comprometer un sistema vulnerable.

  • Fecha de Liberación: 19-Ene-2006
  • Ultima Revisión: 20-Ene-2006
  • Fuente: Reportado por el vendedor.
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Múltiples vulnerabilidades

Sistemas Afectados

ELOG 2.6.1
  1. Descripción

    Se reportaron varias vulnerabilidades en ELOG, que pueden explotarse por personas maliciosas para ocasionar una negación de servicio (DoS), burlar ciertas restricciones de seguridad, y posiblemenete comprometer un sistema vulnerable.

    1. Existe un error de formato de cadena en la función "write_logfile()" dentro de "elogd.c" cuando registra eventos en el archivo log. Esto puede explotarse para tirar el servidor y podría permitir la ejecución de código via un nombre de usuario malicioso proporionado desde la página de ingreso.

      Una explotación exitosa requiere que el registro este habilitado.

    2. Hay un error en la validación de ciertas URLs que podría explotarse para ingresar a archivos desde fuera del directorio de elog via peticiones que contengan la secuencia "../.." en un ataque directory traversal.

    Las vulnerabilidades fueron reportadas en las versiones anteriores a la 2.6.1.

    NOTA: Varios problemas no especificados, que podrían relacionarce con seguridad, también fueron corregidos.

  2. Impacto

    Acceso al sistema.

  3. Solución

    Actualizar a la versión 2.6.1.
    http://midas.psi.ch/elog/download.html

  4. Apéndices

    http://midas.psi.ch/elog/download/ChangeLog

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT