Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

pavuk version 0.9p128 et versions antérieures.

Résumé

Une vulnérabilité dans l'outil pavuk permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

pavuk est un programme de récupération récursif de documents supportant les protocoles HTTP, FTP et Gopher.
Lorsqu'un serveur HTTP renvoi un code d'erreur 305 (Use Proxy), pavuk copie les données contenues dans l'en-tête HTTP Location d'une manière non sécurisée. Cela permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance avec les droits de l'utilisateur ayant exécuté pavuk.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation