Changer l'apparence
Alertes: Pico Server 3.x
Groupe(s) OS affecté(s) : UNIX
Impact(s) : Accès système / Révélation d'informations sensibles
Solution : Patch du fournisseur
Exploit : Disponible
ZATAZ ID : ASZ-2005-1088
Localisation(s) : Distante / Locale
Date de découverte : 22.05.2005
Un utilisateur local malveillant pourrait obtenir des informations sensibles, et un internaute malveillant pourrait obtenir des informations sensibles ou compromettre un ssytème vulnérable par le biais de ces vulnérabilités.
RedTeam a rapporté des vulnérabilités pour Pico Server 3.x
Un erreur de validation d'entrée dans le support CGI-BIN peut être exploité pour révéler le contenu des fichiers présents dans le répertoire "cgi-bin/ ou exécuter des commandes arbitraires par le biais d'attaques du type traverse de répertoires.
Un utilisateur local malveilllant avec les permissions de créer des fichiers dans la racine web peut obtenir le contenu de fichiers arbitraire avec les privilèges du serveur web Pico par le biais d'attaques du type liens symboliques.
Mettre à jour vers la version 3.3 et n'autoriser que des utilisateurs de confiance à créer des fichiers dans la racine web.
Lien(s) Associé(s) :
Auteur(s) Associé(s) : RedTeam ( 4 )
CVE Associé(s) : CAN-2005-1365 / CAN-2005-1366 / CAN-2005-1367
Veuillez noter que les informations diffusées par ZATAZ.net dans le cadre de sa rubrique Alertes ont comme
provenance des parties tierces.
ZATAZ.net collecte, valide et vérifie les vulnérabilités diffusées par les fournisseurs, groupes de recherches
spécialisés dans la sécurité informatique, etc.
Si vous désirez nous envoyer des alertes de sécurité que vous avez découvertes, contactez-nous sur alertes@zataz.net