home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / gentoo_GLSA-200407-09.nasl < prev    next >
Text File  |  2005-03-31  |  2KB  |  67 lines
  1. # This script was automatically generated from 
  2. #  http://www.gentoo.org/security/en/glsa/glsa-200407-09.xml
  3. # It is released under the Nessus Script Licence.
  4. # The messages are release under the Creative Commons - Attribution /
  5. # Share Alike license. See http://creativecommons.org/licenses/by-sa/2.0/
  6. #
  7. # Avisory is copyright 2001-2004 Gentoo Foundation, Inc.
  8. # GLSA2nasl Convertor is copyright 2004 Michel Arboi
  9.  
  10. if (! defined_func('bn_random')) exit(0);
  11.  
  12. if (description)
  13. {
  14.  script_id(14542);
  15.  script_version("$Revision: 1.1 $");
  16.  script_xref(name: "GLSA", value: "200407-09");
  17.  
  18.  desc = 'The remote host is affected by the vulnerability described in GLSA-200407-09
  19. (MoinMoin: Group ACL bypass)
  20.  
  21.  
  22.     MoinMoin contains a bug in the code handling administrative group ACLs. A
  23.     user created with the same name as an administrative group gains the
  24.     privileges of the administrative group.
  25.   
  26. Impact
  27.  
  28.     If an administrative group called AdminGroup existed an attacker could
  29.     create a user called AdminGroup and gain the privileges of the group
  30.     AdminGroup. This could lead to unauthorized users gaining administrative
  31.     access.
  32.   
  33. Workaround
  34.  
  35.     For every administrative group with special privileges create a user with
  36.     the same name as the group.
  37.   
  38. References:
  39.     http://sourceforge.net/tracker/index.php?func=detail&aid=948103&group_id=8482&atid=108482
  40.     http://www.osvdb.org/6704
  41.  
  42.  
  43. Solution: 
  44.     All users should upgrade to the latest available version of MoinMoin, as
  45.     follows:
  46.     # emerge sync
  47.     # emerge -pv ">=net-ww/moinmoin-1.2.2"
  48.     # emerge ">=net-ww/moinmoin-1.2.2"
  49.   
  50.  
  51. Risk Factor : Medium
  52. ';
  53.  script_description(english: desc);
  54.  script_copyright(english: "(C) 2004 Michel Arboi");
  55.  script_name(english: "[GLSA-200407-09] MoinMoin: Group ACL bypass");
  56.  script_category(ACT_GATHER_INFO);
  57.  script_family(english: "Gentoo Local Security Checks");
  58.  script_dependencies("ssh_get_info.nasl");
  59.  script_require_keys('Host/Gentoo/qpkg-list');
  60.  script_summary(english: 'MoinMoin: Group ACL bypass');
  61.  exit(0);
  62. }
  63.  
  64. include('qpkg.inc');
  65. if (qpkg_check(package: "net-www/moinmoin", unaffected: make_list("ge 1.2.2"), vulnerable: make_list("le 1.2.1")
  66. )) { security_warning(0); exit(0); }
  67.