jueves, 2 de julio de 2009

Actualizaciones de seguridad para NetBSD

NetBSD ha publicado actualizaciones de seguridad para OpenSSH, ntp y hack que corrigen diferentes problemas de seguridad. NetBSD es una implementación Unix de la familia *BSD, constituidos por NetBSD, OpenBSD y FreeBSD. Se trata de sistemas operativos de código abierto creados con la seguridad como principal motivación.

La actualización para OpenSSH, el conjunto de herramientas basado en el protocolo SSH, soluciona una debilidad en el manejo de errores que podría permitir a un atacante capturar hasta 32 bits en texto plano de bloques arbitrarios procedentes de tráfico cifrado con el modo CBC (Cipher Block Chaining).

Para ntp, se corrigen dos vulnerabilidades que podrían permitir a un atacante remoto ejecutar código arbitrario con los permisos del usuario ntp. Las vulnerabilidades, desbordamiento de memoria intermedia basada en pila, se encuentran en las funciones "cookedprint" y "crypto_recv", pertenecientes al comando ntpq, encargado de efectuar consultas a servidores ntp. Un atacante remoto podría ejecutar código arbitrario en un sistema que use el comando ntpq contra un servidor atacante a través de paquetes especialmente manipulados.

La tercera y última actualización es para Hack, un popular juego de mazmorras en modo texto basado en Rogue. Se han encontrado múltiples vulnerabilidades que podrían permitir a un atacante ejecutar código arbitrario con los privilegios del grupo "games".


David García
dgarcia@hispasec.com


Más información:

OpenSSH
http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2009-005.txt.asc
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5161

ntp
http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2009-006.txt.asc
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1252
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0159

Hack
http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2009-007.txt.asc
http://homepages.cwi.nl/~aeb/games/hack/hack.html

No hay comentarios:

Publicar un comentario en la entrada