home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / gentoo_GLSA-200404-14.nasl < prev    next >
Text File  |  2005-03-31  |  2KB  |  67 lines
  1. # This script was automatically generated from 
  2. #  http://www.gentoo.org/security/en/glsa/glsa-200404-14.xml
  3. # It is released under the Nessus Script Licence.
  4. # The messages are release under the Creative Commons - Attribution /
  5. # Share Alike license. See http://creativecommons.org/licenses/by-sa/2.0/
  6. #
  7. # Avisory is copyright 2001-2004 Gentoo Foundation, Inc.
  8. # GLSA2nasl Convertor is copyright 2004 Michel Arboi
  9.  
  10. if (! defined_func('bn_random')) exit(0);
  11.  
  12. if (description)
  13. {
  14.  script_id(14479);
  15.  script_version("$Revision: 1.1 $");
  16.  script_xref(name: "GLSA", value: "200404-14");
  17.  script_cve_id("CAN-2004-0179");
  18.  
  19.  desc = 'The remote host is affected by the vulnerability described in GLSA-200404-14
  20. (Multiple format string vulnerabilities in cadaver)
  21.  
  22.  
  23.     Cadaver code includes the neon library, which in versions 0.24.4 and
  24.     previous is vulnerable to multiple format string attacks. The latest
  25.     version of cadaver uses version 0.24.5 of the neon library, which makes it
  26.     immune to this vulnerability.
  27.   
  28. Impact
  29.  
  30.     When using cadaver to connect to an untrusted WebDAV server, this
  31.     vulnerability can allow a malicious remote server to execute arbitrary code
  32.     on the client with the rights of the user using cadaver.
  33.   
  34. Workaround
  35.  
  36.     A workaround is not currently known for this issue. All users are advised
  37.     to upgrade to the latest version of the affected package.
  38.   
  39. References:
  40.     http://www.webdav.org/cadaver
  41.     http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0179
  42.  
  43.  
  44. Solution: 
  45.     cadaver users should upgrade to version 0.22.1 or later:
  46.     # emerge sync
  47.     # emerge -pv ">=net-misc/cadaver-0.22.1"
  48.     # emerge ">=net-misc/cadaver-0.22.1"
  49.   
  50.  
  51. Risk Factor : Medium
  52. ';
  53.  script_description(english: desc);
  54.  script_copyright(english: "(C) 2004 Michel Arboi");
  55.  script_name(english: "[GLSA-200404-14] Multiple format string vulnerabilities in cadaver");
  56.  script_category(ACT_GATHER_INFO);
  57.  script_family(english: "Gentoo Local Security Checks");
  58.  script_dependencies("ssh_get_info.nasl");
  59.  script_require_keys('Host/Gentoo/qpkg-list');
  60.  script_summary(english: 'Multiple format string vulnerabilities in cadaver');
  61.  exit(0);
  62. }
  63.  
  64. include('qpkg.inc');
  65. if (qpkg_check(package: "net-misc/cadaver", unaffected: make_list("ge 0.22.1"), vulnerable: make_list("lt 0.22.1")
  66. )) { security_warning(0); exit(0); }
  67.