domingo, 23 de diciembre de 2012

Vulnerabilidades en Novell eDirectory


Se han anunciado diversas vulnerabilidades en Novell eDirectory (versiones anteriores a 8.8.7.2 y 8.8.6.7), que podrían permitir a un atacante remoto provocar condiciones de denegación de servicio, construir ataques de cross-site scripting y llegar a comprometer los sistemas afectados.


El primero de los problemas solo afecta a plataformas Windows, reside en el servicio dhost al tratar determinados caracteres manipulados. Un atacante puede emplear esta vulnerabilidad para provocar la caída del servicio a través de una petición HTTP específicamente creada.

Una segunda vulnerabilidad se produce porque no se limpian adecuadamente determinadas entradas antes de ser devueltas al usuario. Esto puede permitir la realización de ataques de cross-site scripting y la ejecución de código script arbitrario.

Por ultimo, un desbordamiento de búfer (basado en pila) debido a un error en la implementación NCP. Este problema podría permitir a un atacante lograr la ejecución de código arbitrario.

Se recomienda actualizar a las versiones 8.8.7.2 o 8.8.6.7.

Más información:

History of Issues Resolved in eDirectory 8.8.x

Security Vulnerability: eDirectory DoS dhost request with certain characters

Security Vulnerability: eDirectory Authorization Mechanism Bypass

Security Vulnerability: eDirectory Cross Site Scripting exploit



Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada