Novell ha resuelto, con la publicación de una actualización, un grave
problema de seguridad que afecta a dos de sus productos más populares,
Novell Linux Desktop 9, versiones i386 y x86_64, y Open Enterprise Server 1,
para i386.

Novell Linux Desktop es un producto derivado de SUSE Linux, y está orientado
al usuario final, ya que permite que los usuarios poco familiarizados con
entornos Linux obtengan una aproximación al concepto cómoda, al ser un
escritorio amigable en uso y configuración. Open Enterprise es el resultado
de la combinación de Netware y SUSE Linux Enterprise Server, una plataforma
abierta para el despligue de aplicaciones empresariales que requieran de un
sistema que actúe como servidor corporativo.

El fabricante ha dispuesto de una actualización que corrige un fallo de
seguridad explotable de modo remoto que podría permitir desbordamientos de
búfer en el módulo de autenticación «pam_micasa». La gravedad viene
propiciada por el hecho de que este módulo se añade de un modo automático a
/etc/pam.d/sshd en toda instalación de Novell Common Authentication Service
Adapter (CASA), lo que podría permitir a los atacantes remotos ganar
privilegios de root en las máquinas donde CASA esté instalado.

Pese a que Novell ha liberado el preceptivo parche, recomendamos que los
usuarios que no empleen este módulo procedan a su desinstalación a través
del gestor de paquetes RPM, tecleando para ello, en consola, la secuencia
«rpm -e CASA CASA-gui CASA-devel»

Los usuarios que deseen actualizar pueden hacerlo, para su mayor comodidad,
a través del frontal gráfico Redcarpet, que acompaña a sendos productos.
Aquellos administradores que deseen hacer un seguimiento de la falla, deben
acudir a la referencia Mitre CVE ID CVE-2006-0736 y/o ponerse en contacto
con el servicio postventa de Novell.

Sergio Hernando
shernando@hispasec.com

Más información:

SUSE Security Announcement: CASA remote code execution (SUSE-SA:2006:010)
http://www.novell.com/linux/security/advisories/2006_10_casa.html

Security update for CASA
http://support.novell.com/cgi-bin/search/searchtid.cgi?psdb/eb79800a3d8a5cb6599b75e30f0ba133.html

Novell Open Enterprise Server
http://www.novell.com/es-es/products/openenterpriseserver/

Novell Linux Desktop
http://www.novell.com/products/desktop/

Compártelo: