1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Bolwin de Seguridad UNAM-CERT-2007-018 Vulnerabilidad en Microsoft Content Management Server podría permitir la ejecución remota de código (925939)

Esta actualización resuelve vulnerabilidades en Microsoft Content Management Server que podrían permitir la ejecución remota de código.

  • Fecha de Liberación: 10-Abr-2007
  • Ultima Revisión: 10-Abr-2007
  • Fuente: Microsoft Corp.
  • CVE ID: CVE-2007-0938 CVE-2007-0939
  • Riesgo Crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Múltiples vulnerabilidades

Sistemas Afectados

Microsoft Content Management Server 2001 Service Pack 1 < KB924430
Microsoft Content Management Server 2002 Service Pack 2 < KB924429
  1. Descripción

    • Vulnerabilidad de corrupción de memoria en CMS – CVE-2007-0938
    • Existe una vulnerabilidad en Content Management Server debido a la manera en como se manejan peticiones http especialmente diseñadas. Esto se debe a la manera en como Content Management Server maneja los caracteres no esperados en las peticiones HTTP.

    • Vulnerabilidad de Cross-Site Scriping y falsificación en CMS – CVE-2007-0939
    • Existe una vulnerabilidad de Cross-site Scriping y falsificación en Content Management Server (MCMS), si un intruso convence a un usuario de ejecutar una secuencia de comandos este se ejecutaría con los privilegios del usuario. Para explotar esta vulnerabilidad es necesaria la interacción del usuario. El problema se debe a que no se realiza una validación adecuada en la entrada de datos proporcionados en la redirección de consultas HTML antes de que estas se envíen.

  2. Impacto

    Un intruso que explote con éxito esta vulnerabilidad podría tomar el control total del sistema afectado. Un intruso entonces podría instalar programas, realizar cambios o borrar datos; o crear cuentas con privilegios administrativos.

  3. Solución

    Aplicar una actualización:

  4. Apéndice

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Juan Lopez Morales (jlopez at seguridad dot unam dot mx)
  • Jesús Ramón Jiménez Rojas (jrojas at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT