|
MS07-018 Vulnerabilidad en MCMS (925939)
|
|
VSantivirus No 2419 Año 11, miércoles 11 de abril de 2007
MS07-018 Vulnerabilidad en MCMS (925939)
http://www.vsantivirus.com/vulms07-018.htm
Nivel de gravedad: Crítico
Impacto: Ejecución remota de código
Fecha de publicación: 10 de abril de 2007
Software afectado por este parche:
- Microsoft Content Management Server 2001 Service Pack 1
- Microsoft Content Management Server 2002 Service Pack 2
El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft.
Descripción:
Microsoft Content Management Server (MCMS), es un servidor empresarial que simplifica el desarrollo y el mantenimiento de sitios dedicados al comercio electrónico.
Esta actualización resuelve un par de vulnerabilidades que permiten la ejecución remota de código.
La primera de ellas se produce por un error al manejar las solicitudes HTTP y puede permitir a un atacante tomar el control total del equipo.
La segunda vulnerabilidad se relaciona con un Cross-site Scripting (inyección de código en dominios con diferentes permisos), que puede llevar a un atacante a la ejecución de un script malicioso en el contexto de seguridad del usuario. Sin embargo, se requiere cierta interacción con la víctima para que el ataque tenga éxito.
El resultado puede ser que el atacante remoto tenga acceso a los mismos archivos a los que podría acceder el usuario local.
La vulnerabilidad también puede permitir la modificación del caché del navegador o de un proxy intermedio, para inyectar contenido falsificado.
Explotación:
No se conocen exploits activos al momento actual.
Referencias CVE:
Las vulnerabilidades corregidas están relacionadas con las siguientes referencias CVE:
CVE-2007-0938
CMS Memory Corruption Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0938
CVE-2007-0939
CMS Cross-Site Scripting and Spoofing Vulnerability
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0939
CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano.
Descargas:
Las actualizaciones pueden descargarse del siguiente enlace:
www.microsoft.com/technet/security/bulletin/ms07-018.mspx
El parche también está disponible a través de las actualizaciones automáticas de Windows Update.
Nota:
Antes de instalar esta actualización, verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.
Más información:
Microsoft Security Bulletin MS07-018
www.microsoft.com/technet/security/bulletin/ms07-018.mspx
Microsoft Knowledge Base Article - 925939
http://support.microsoft.com/kb/925939/es
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|