Se reportaron varias vulnerabilidades en ELOG, que pueden explotarse para ocasionar una negación de servicio (DoS), burlar ciertas restricciones de seguridad, y posiblemenete comprometer un sistema vulnerable.
ELOG | < | 2.6.1 |
Se reportaron varias vulnerabilidades en ELOG, que pueden explotarse por personas maliciosas para ocasionar una negación de servicio (DoS), burlar ciertas restricciones de seguridad, y posiblemenete comprometer un sistema vulnerable.
Existe un error de formato de cadena en la función "write_logfile()" dentro de "elogd.c" cuando registra eventos en el archivo log. Esto puede explotarse para tirar el servidor y podría permitir la ejecución de código via un nombre de usuario malicioso proporionado desde la página de ingreso.
Una explotación exitosa requiere que el registro este habilitado.
Hay un error en la validación de ciertas URLs que podría explotarse para ingresar a archivos desde fuera del directorio de elog via peticiones que contengan la secuencia "../.." en un ataque directory traversal.
Las vulnerabilidades fueron reportadas en las versiones anteriores a la 2.6.1.
NOTA: Varios problemas no especificados, que podrían relacionarce con seguridad, también fueron corregidos.
Acceso al sistema.
Actualizar a la versión 2.6.1.
http://midas.psi.ch/elog/download.html
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT