Risque
- Exécution de code arbitraire
Systèmes affectés
- SuSE Linux 8.1 ;
- SuSE Linux Enterprise Server 8 ;
- SuSE Linux Office Server ;
- SuSE Linux Openexchange Server 4.
Résumé
Une vulnérabilité du paquetage susehelp permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Description
Le paquetage susehelp contient de l'aide pour l'installation et la configuration de la distribution SuSE. Ce paquetage n'est pas installé par défaut.
Un des programmes CGI (Common Gateway Interface) présente une vulnérabilité, qui peut être exploitée si l'utilitaire susehelp est accessible depuis un serveur HTTP installé sur la machine. Dans ce cas-là, il est possible d'exécuter du code arbitraire avec les droits du serveur (wwwrun).
Solution
Appliquer le correctif disponible sur le site de SuSE (cf. section Documentation).
Documentation
- Avis de sécurité SuSE SuSE-SA:2003:005 http://www.suse.de/de/security/2003_005_susehelp.html