Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/06/2012
S’ha informat de dos vulnerabilitats en cPanel que podrien ser aprofitades per usuaris maliciosos per a comprometre un sistema vulnerable i per atacants maliciosos per a manipular determinada informació.
Un error en el binari que dividix el registre al manejar missatges podria ser explotat per a escriure en arxius arbitraris del sistema a través de missatges de registre especialment manipulats que continguen seqüències d’escalada de directoris.
Per a l’explotació reeixida d’esta vulnerabilitat és necessari que s’utilitze l’opció Apache Piped Log Configuration (deshabilitada per defecte).
Un error pel fet que cPanel WebDAV (cPDAVd) no saneja adequadament els noms d’arxiu podria ser aprofitat per a executar codi arbitrari.
Les vulnerabilitats afecten versions anteriors a 11.30.6.8, 11.32.2.28 i 11.32.3.19.
Sistemes Afectats:cPanel 11.x versions anteriors a 11.30.6.8, 11.32.2.28 i 11.32.3.19.
Referències:None
Solució:Actualitzar la versió 11.30.6.8, 11.32.2.28 o 11.32.3.19.
Notes:http://www.cpanel.net/2012/05/targeted-security-release-20120531-announcement.html
http://www.cpanel.net/2012/06/targeted-security-release-2012-05-31-disclosure.html