El servidor web Roxen es un extendido servidor http que corre bajo
Unix y Windows. Se ha descubierto una vulnerabilidad en este software
que puede permitir a cualquier usuario conseguir cualquier archivo de
la máquina.
Roxen Webserver 2.0 hasta la versión 2.0.92 y 2.1 hasta la versión
2.1.264 se ve afectado por una vulnerabilidad que puede permitir a un
usuario recuperar cualquier archivo del sistema con los privilegios
del servidor web. Si el módulo CGI se encuentra activo el problema se
magnifica ya que puede posibilitar la ejecución de cualquier programa.
Se ha publicado una paquete de actualización bajo el nombre de «Fix
for file access vulnerability» (corrección para vulnerabilidad de
acceso a ficheros) para los usuarios de las versiones 2.1.247 y 2.1.262.
Se puede emplear el interfaz de administración para descargar e instalar
esta actualización. El servidor deberá ser reiniciado tras la
instalación del parche.
Los parches y las instrucciones de cómo aplicarlos para todas las
versiones 2.x están disponibles en http://download.roxen.com/
Parche para Roxen 2.1 roxen-2.1.247.diff.gz
http://download.roxen.com/2.1/patch/roxen-2.1.247.diff.gz
Parche Roxen 2.0 roxen-2.0.diff.gz
http://download.roxen.com/2.0/patch/roxen-2.0.diff.gz
antonior@hispasec.com
Más información:
Securityfocus:
http://www.securityfocus.com/vdb/?id=3145
Deja una respuesta