04 aprile 2008


La società di sicurezza Secunia (http://secunia.com) riporta un advisory (SA29674 (http://secunia.com/advisories/29674/)) in cui si spiega che è stata trovata una vulnerabilità in Webwasher per Linux, guidicata dalla stessa come Less critical, che può essere sfruttata da malintenzionati per causare attacchi di tipo DoS (Denial of Service).

La vulnerabilità è causata dal processing degli URLs in ambiente Linux (nuove versioni). Questo può essere usato da malintenzionati per far freezare il servizio attraversio Speciali URLs creati appositamente.

La vulnerabilità è stata riportata nelle seguenti versioni:
* Webwasher appliances 6.x (CGLinux 4 o 5) precedenti alla build numero 3150
* Webwasher software versione precedente alla 6.6.3 build 3150 o 5.3.0 build 3159 che girano su:
- RedHat Enterprise Linux 4
- Debian Linux 4
- SLES 10
Webwasher 6.x
Webwasher CSM Suite 5.x
WebWasher EE
WebWasher PG

Soluzione:
Aggiornare il programma alla versione 6.6.3 build 3150 o 5.3.0 build 3159:
https://extranet.webwasher.com/download/csm/index.html

Scoperto da:
National Australia Bank Security Assurance.


Fonte: Secunia (http://secunia.com/advisories/29674/)

ripreso anche da security focus:

http://www.securityfocus.com/bid/28600