RSS

2006

Ago
28

28/08/2006 Inyección de código shell en Novell Identity Manager 3.0.x

Se ha anunciado una vulnerabilidad en Novell Identity Manager 3.0, por
la que un usuario remoto podrá llegar a ejecutar comandos arbitrarios
en el sistema afectado.

El problema reside en que el script 'idmlib.sh' no valida de forma
adecuada los valores introducidos por los usuarios. Un atacante podría
proporcionar un valor especialmente creado para provocar la ejecución
de comandos shell por el proceso nxdrv, que corre con privilegios de
root. Por tanto, un usuario malicioso podrá llegar a ejecutar comandos
shell arbitrarios con privilegios de root.

Novell ha publicado un parche para la versión 3.0.x, disponible en:
http://support.novell.com/servlet/filedownload/ftf/idm30linux_unix2.tgz

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2865/comentar

Más Información:

Novell Identity Manager Input Validation Flaw May Let Remote Users
Inject Shell Code
http://www.securitytracker.com/alerts/2006/Aug/1016741.html

IDM 3.0.x Bi-directional Linux-UNIX Driver
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2974299.htm

Antonio Ropero

Consultar Una al día anteriores » Comentar esta noticia » Recibe gratis "Una al día" »

búsqueda

RSS

28/08/2006 Inyección de código shell en Novell Identity Manager 3.0.x