Risque

Exécution de code arbitraire.

Systèmes affectés

  • SuSE Linux 8.1 ;
  • SuSE Linux Enterprise Server 8 ;
  • SuSE Linux Office Server ;
  • SuSE Linux Openexchange Server 4.

Résumé

Une vulnérabilité du paquetage susehelp permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

Le paquetage susehelp contient de l'aide pour l'installation et la configuration de la distribution SuSE. Ce paquetage n'est pas installé par défaut.

Un des programmes CGI (Common Gateway Interface) présente une vulnérabilité, qui peut être exploitée si l'utilitaire susehelp est accessible depuis un serveur HTTP installé sur la machine. Dans ce cas-là, il est possible d'exécuter du code arbitraire avec les droits du serveur (wwwrun).

Solution

Appliquer le correctif disponible sur le site de SuSE (cf. section Documentation).

Documentation

Avis de sécurité SuSE SuSE-SA:2003:005 :

http://www.suse.de/de/security/2003_005_susehelp.html