martes, 7 de abril de 2009

Actualización de múltiples paquetes para SuSE Linux

SuSE ha publicado una actualización para múltiples paquetes de diversos productos SuSE Linux que corrigen numerosos problemas de seguridad.

De forma resumida, las vulnerabilidades son:

* Un fallo de seguridad en multipath-tools podría permitir a cualquier usuario local conectar y enviar comandos arbitrarios al demonio de multipath debido a una configuración de permisos por defecto excesivamente permisiva.

* Ha sido detectado un fallo de seguridad en Dbus que podría permitir a un atacante saltar las restricciones. El fallo existe en el atributo send_type en algunas reglas debido a una configuración demasiado permisiva que permite a un atacante enviar comandos arbitrarios.

* Existe un fallo de seguridad en la función de OpenSSL EVP_VerifyFinal que podría permitir a un atacante eludir restricciones. Un error en la revisión de los datos devueltos por esta función podría evitar la validación del certificado.

* Existe un error en el módulo mbstring de apache-mod_php4. La falta de comprobación de caracteres de entrada podría permitir a un atacante provocar un desbordamiento de memoria intermedia basada en heap permitiéndole la ejecución de código arbitrario.

* Se han corregido diversas vulnerabilidades en apache2-mod_php5.

* Se ha encontrado un fallo de seguridad en struts que puede permitir a un atacante realizar un cross site scripting. El problema radica en la falta de comprobación de límites.

* Se ha actualizado el paquete de Qemu para evitar cinco vulnerabilidades.

* Ha sido detectado un fallo de seguridad en los ficheros de audio CAF. El fallo podría ser aprovechado por un atacante para ejecutar código arbitrario a través de comentarios especialmente manipulados en estos archivos.

* Se han corregido múltiples vulnerabilidades en la actualización de phpmyadmin.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report: SUSE-SR:2009:008
http://lists.opensuse.org/opensuse-security-announce/2009-04/msg00003.html

No hay comentarios:

Publicar un comentario en la entrada