Los programas KNapster y Gnapster tienen una vulnerabilidad que permite
que cualquier usuario pueda acceder y copiar cualquier fichero contenido
en el disco duro de un usuario que ejecute «KNapster» o «Gnapster», y
sobre el que dicho usuario tenga permisos de lectura.
KNapster y Gnapster son dos programas para Linux (el primero para el
entorno KDE y el segundo para el entorno Gnome), similares al Napster de
Windows. Estos programas permiten utilizar la arquitectura Napster desde
sistemas Linux, como si de otro Napster se tratase.
Napster, como todos nuestros lectores sabrán, es un programa que permite
que un usuario comparta e intercambie ficheros MP3 con otros miles de
usuarios repartidos por todo el planeta.
Tanto KNapster (versión 0.9 y anteriores) como Gnapster (versión 1.3.8 y
anteriores) tienen el mismo BUG: aceptan peticiones «GET» conteniendo
PATHs completos, lo que permite referenciar cualquier fichero del disco
duro del usuario atacado.
Ambos programas han corregido ya el problema, y se recomienda instalar
la última versión de los mismos, disponibles en
http://knapster.netpedia.net/#DOWNLOAD
http://download.sourceforge.net/gnapster/
Más información:
KNAPSTER
GNAPSTER
NAPSTER
Gnapster and Knapster File Access Vulnerability
jcea@hispasec.com
Deja una respuesta