Vulnérabilité de Pavuk

Gestion du document

Référence	CERTA-2004-AVI-255
Titre	Vulnérabilité de Pavuk
Date de la première version	28 juillet 2004
Date de la dernière version	17 janvier 2005
Source(s)	Bulletin de sécurité GLSA 200407-19 de Gentoo
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance

Systèmes affectés

pavuk version 0.9p128 et versions antérieures.

Description

pavuk est un outil permettant d'aspirer les sites web.

Une vulnérabilité de type débordement de mémoire est présente dans la routine de traitement des données d'authentification renvoyées par le serveur web (erreur HTTP 401).

En mettant à disposition un site habilement constitué, il est ainsi possible de forcer l'exécution de code arbitraire à distance sur une plate-forme utilisant une version vulnérable de pavuk.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs.

Documentation

Bulletin de sécurité Avaya ASA-2005-006 :

http://support.avaya.com/elmodocs2/security/ASA-2005-006_RHSA-2004-549RHSA-2004-505RHSA-2004-689.pdf

Bulletin de sécurité Gentoo GLSA 200407-19 du 26 juillet 2004 :

http://www.gentoo.org/security/en/glsa/glsa-200407-19.xml

Site Internet de pavuk : http://www.idata.sk/˜ondrej/pavuk/

http://www.idata.sk/%CB%9Condrej/pavuk/

Avis du CERT-FR

Objet: Vulnérabilité de Pavuk