VULVERABILIDAD EN " Novell Cloud Manager y PlateSpin Orchestrate "

Novell Cloud Manager y PlateSpin Orchestrate tienen un fallo que podría permitir a un ciberdelincuente causar una denegación de servicio y ejecutar código arbitrario con los permisos que estuviera funcionando el servicio explotado.

Descripción de la vulnerabilidad:

• El CVE asignado a esta vulnerabilidad es el CVE-2011-2654.
• El fallo se encuentra en la implementación de los métodos RPC. Al no realizar una validación suficiente de los datos suministrados por el usuario, proceden a la creación de una sesión parcialmente inicializada.
• Esta sesión parcialmente inicializada es la que permitirá, sin necesidad de ningún tipo de autenticación, realizar llamadas RPC privilegiadas en el servidor, y por lo tanto, ejecutar código arbitrario en el contexto sobre el que esté funcionando el servicio explotado. No se han dado más detalles de dicha vulnerabilidad.

Versiones afectadas :

• Las versiones afectadas son Novell Cloud Manager 1.1.x y PlateSpin Orchestrate 2.6.0.

Recomendaciones:

• Novell ya ha publicado un parche que solventa esta vulnerabilidad.

Fuente: Hispasec