Los administradores de soluciones Trustix tienen disponible un paquete
de actualizaciones que solucionan diversos problemas de seguridad,
catalogables como críticos, que permitirían, en sistemas no actualizados,
la denegación de servicio, el acceso al sistema y la escalada de
privilegios, con posibilidad de explotación remota.
Trustix es una distribución fundada por Trustix AS en 1997, basada en
Red Hat, especialmente orientada a la consecución de sistemas altamente
seguros mediante la inclusión única de paquetes absolutamente esenciales,
dejando fuera los componentes opcionales que pudieran ser probable fuente
de problemas de seguridad. Este modelo es similar, pero menos riguroso,
al que usan otras distribuciones especializadas como Security Enhanced
Linux, de la National Security Agency.
El grueso de actualizaciones corresponde a parches incrementales que
han surgido recientemente para múltiples paquetes que se entregan de
serie en esta distribución, entre los que destacan Clam Antivirus, el
gestor de impresión cups, el gestor de correo Fetchmail, el módulo de
autenticación PostgreSQL para Apache mod_auth_pgsql y sudo, el componente
para la gestión de super usuarios del sistema.
En el caso de ClamAV se ha corregido el componente libclamav/upx.c,
probable fuente de desbordamientos de búfer. Para cups, se ha incorporado
un parche corrector que evita la denegación de servicio vía xpdf, así
como otras mejoras. El caso de Fetchmail contiene soluciones al manejo
de mensajes sin cabeceras, que podrían conducir a una referencia de
puntero nulo. Las correcciones en mod_auth_pgsql impiden que atacantes
malintencionados ejecuten código arbitrario actuando a través del demonio
httpd. Por último, la actualización de sudo impide que atacantes
malintencionados carguen y ejecuten librerías del sistema través de
scripts perl que empleen variables del entorno como perllib, perl5lib
o perl5opt.
Recomendamos a los administradores Trustix actualicen sus sistemas,
preferentemente mediante la herramienta automatizada «swup». La
actualización está disponible en los servidores de la compañía. La
suma de vulnerabilidades corregidas por las actualizaciones otorga
al problema carácter crítico, es por tanto aconsejable evitar de
demoras en la actualización. La ubicación y versión de los paquetes
actualizados es la que sigue:
http://http.trustix.org/pub/trustix/updates/
ftp://ftp.trustix.org/pub/trustix/updates/
2.2/rpms/clamav-0.88-1tr.i586.rpm
2.2/rpms/clamav-devel-0.88-1tr.i586.rpm
2.2/rpms/cups-1.1.23-7tr.i586.rpm
2.2/rpms/cups-devel-1.1.23-7tr.i586.rpm
2.2/rpms/cups-libs-1.1.23-7tr.i586.rpm
2.2/rpms/fetchmail-6.2.5.5-1tr.i586.rpm
2.2/rpms/sudo-1.6.8p9-3tr.i586.rpm
shernando@hispasec.com
Más información:
Trustix Secure Linux
http://www.trustix.net
Trustix Secure Linux Security Advisory #2006-0002
http://www.trustix.org/errata/2006/0002/
Deja una respuesta