Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Vulnerabilidades / Actualización de múltiples paquetes para SuSE Linux

Actualización de múltiples paquetes para SuSE Linux

Por Leave a Comment

SuSE ha publicado una actualización para múltiples paquetes de diversos productos SuSE Linux que corrigen numerosos problemas de seguridad.
De forma resumida, las vulnerabilidades son:

* Se ha corregido un error en el servidor dhcp a través del parámetro ‘dhcp-max-message-size’ que podría ocasionar un desbordamiento de enteros. Esto podría ser aprovechado por un atacante para causar una denegación de servicio.

* Se ha corregido un error en la validación del valor devuelto por la función de ‘EVP_VerifyFinal’ de OpenSSL. Esto podría ser aprovechado por un atacante remoto para evadir restricciones de seguridad a través de certificados de seguridad especialmente manipulados.

* Se ha corregido un error en el servidor squid en los archivos ‘httpmsg.c’ y ‘httpstatusline.c’ a través de una solicitud HTTP con un número de versión no válido que podría ser aprovechada por un atacante remoto para causar una denegación de servicio.

* Se han corregido múltiples denegaciones de servicio en el programa wireshark a través de ficheros que contengan datos del tipo ‘NetScreen’, al leer ficheros de capturas ‘Tektronix 12’ y al leer la variable ‘HOME’ con información especialmente manipulada.

* Se ha corregido un error en la librería libpng a través de archivos ‘png’ especialmente manipulados. Esto podría ser aprovechado por un atacante para ejecutar código arbitrario.

* Se ha corregido un error en pam_mount que podría ser aprovechado por un atacante para llevar acabo ataques basados en enlaces simbólicos y acceder a información sensible.

* Se ha corregido un error en enscript en la función ‘recognize_eps_file’ localizada en el fichero ‘src/psgen.c’ y en la función ‘tilde_subst function’ localizada en el fichero ‘src/util.c’ a través de direcciones de nombres especialmente largas que podrían causar un desbordamiento de memoria intermedia. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario.

* Se ha corregido un error en eID-belgium al no chequear correctamente los valores de la función ‘OpenSSL EVP_VerifyFinal’, esto podría permitir a un atacante remoto eludir la validación de certificados SSL/TSL.

* Se ha corregido varios errores en gstreamer-0_10-plugins-good que podría provocar un desbordamiento de memoria intermedia. Esto podría ser aprovechado por un atacante para ejecutar código arbitrario.

Se recomienda actualizar a través de las herramientas automáticas YoU
(Yast Online Update).

Laboratorio Hispasec
laboratorio@hispasec.com

Más información:

[security-announce] SUSE Security Summary Report: SUSE-SR:2009:005
http://lists.opensuse.org/opensuse-security-announce/2009-03/msg00000.html

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.