IBM soluciona una falla descubierta por ZDI que permite a un atacante no autenticado ejecutar código arbitrario a través de un paquete LDAP especialmente manipulado.
Tivoli Directory Server, software de gestión de identidad de IBM basado en tecnología LDAP (Lightweight Directory Access Protocol), proporciona servicios de autenticación centralizado. Soporta plataformas IBM AIX, i5, Solaris, Windows, HP-UX.
El error provoca un desbordamiento de memoria intermedia basado en pila, en la función 'ber_get_int'. Esto se produce cuando se procesan paquetes 'CRAM-MD5' especialmente diseñados. Esta falla permite a un atacante remoto poder ejecutar código arbitrario en el contexto de 'SYSTEM'.
El CVE asignado a esta vulnerabilidad ha sido 'CVE-2011-1206' y se ha publicado un prueba de concepto para esta vulnerabilidad.
Existen actualizaciones para corregir este problema para las versiones 5.2.x y 6.x.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4560
Tivoli Directory Server, software de gestión de identidad de IBM basado en tecnología LDAP (Lightweight Directory Access Protocol), proporciona servicios de autenticación centralizado. Soporta plataformas IBM AIX, i5, Solaris, Windows, HP-UX.
El error provoca un desbordamiento de memoria intermedia basado en pila, en la función 'ber_get_int'. Esto se produce cuando se procesan paquetes 'CRAM-MD5' especialmente diseñados. Esta falla permite a un atacante remoto poder ejecutar código arbitrario en el contexto de 'SYSTEM'.
El CVE asignado a esta vulnerabilidad ha sido 'CVE-2011-1206' y se ha publicado un prueba de concepto para esta vulnerabilidad.
Existen actualizaciones para corregir este problema para las versiones 5.2.x y 6.x.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4560
No hay comentarios:
Publicar un comentario