Se
han anunciado diversas vulnerabilidades en Novell eDirectory (versiones
anteriores a 8.8.7.2 y 8.8.6.7), que podrían permitir a un atacante remoto
provocar condiciones de denegación de servicio, construir ataques de cross-site
scripting y llegar a comprometer los sistemas afectados.
El primero de los problemas solo
afecta a plataformas Windows, reside en el servicio dhost al tratar determinados
caracteres manipulados. Un atacante puede emplear esta vulnerabilidad para provocar la caída del servicio a través
de una petición HTTP específicamente creada.
Una segunda vulnerabilidad se
produce porque no se limpian adecuadamente determinadas entradas antes de ser
devueltas al usuario. Esto puede permitir la realización de ataques de cross-site scripting y la ejecución de código
script arbitrario.
Por ultimo, un desbordamiento de
búfer (basado en pila) debido a un error en la implementación NCP. Este
problema podría permitir a un atacante lograr la ejecución de código arbitrario.
Se recomienda actualizar a las versiones 8.8.7.2 o
8.8.6.7.
Más información:
History of Issues Resolved in eDirectory 8.8.x
Security Vulnerability: eDirectory DoS dhost
request with certain characters
Security Vulnerability: eDirectory
Authorization Mechanism Bypass
Security Vulnerability: eDirectory Cross Site
Scripting exploit
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario