1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2006-032 Trustix liberó actualizaciones para varios paquetes.

Trustix liberó actualizaciones para múltiples paquetes. Estas reparan varias vulnerabilidades, que pueden explotarse para escalar privilegios, ocasionar una negación de servicio (DoS) y comprometer un sistema vulnerable.

  • Fecha de Liberación: 16-Ene-2006
  • Ultima Revisión: 16-Ene-2006
  • Fuente:

    Trustix Secure Linux Security Advisory
    2006-0002

  • CVE ID: CAN-2005-3624 CAN-2005-3625 CAN-2005-3626 CAN-2005-3627 CAN-2005-4158 CAN-2005-4348 CAN-2006-0162
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Múltiples vulnerabilidades

Sistemas Afectados

Trustix Secure Linux 2.2
Trustix Secure Linux 3.0
  1. Descripción

    Trustix liberó actualizaciones para múltiples paquetes. Estas reparan varias vulnerabilidades, que pueden explotarse por usuarios locales para escalar privilegios y por personas maliciosas ocasionar una negación de servicio (DoS) y comprometer un sistema vulnerable.

    Algunas de las actualizaciones son:

    • ClamAV - Se corrigió un desbordamiento de memoria en el segmento de heap dentro de libclamav/upx.c.

      Ver:
      Buffer Overflow en el manejo de archivos UPX de ClamAV.
      http://www.seguridad.unam.mx/vulnerabilidadesDB-vulne=5008

    • cups - Se corrigieron varios problemas de seguridad en xpdf que podían explotarse para ocasionar una negación de servicio (DoS).

    • fetchmail - Se corrigió una falla al desreferenciar un apuntador nulo cuando se manejaban mensajes sin las cabeceras de correo.

    • mod_auth_pgsql - Se corrigió un error de formato de cadena que permitía ejecutar código arbitrario como el proceso httpd.

      Ver:
      Vulnerabilidad de formato de cadena en el módulo mod_auth_pgsql de Apache.
      http://www.seguridad.unam.mx/vulnerabilidadesDB-vulne=4981

    • Sudo - Se corrigió un error de verificación de las variables de ambiente, que podía explotarse por usuarios con permiso a un script de perl para ejecutar archivos de librerías arbitrarias via las variables de ambiente "PERLLIB", "PERL5LIB" y "PERL5OPT"

  2. Impacto

    Escalación de privilegios.

    Negación de servicio (DoS).

    Acceso al sistema.

  3. Solución

    Instalar paquetes actualizados.
    http://http.trustix.org/pub/trustix/updates/

    Trustix Secure Linux 2.2:

    5a812456fff8b160a0431cd87be387ab 2.2/rpms/clamav-0.88-1tr.i586.rpm
    df00ab8b447b4970cb93c801a35ebcff 2.2/rpms/clamav-devel-0.88-1tr.i586.rpm
    52bfa93ec82d8587b8e4bbfac95108a4 2.2/rpms/cups-1.1.23-7tr.i586.rpm
    790ea1fb94322873ca5ee91b1e0086bd 2.2/rpms/cups-devel-1.1.23-7tr.i586.rpm
    f435ad4abb0c96947925a404d82be8e3 2.2/rpms/cups-libs-1.1.23-7tr.i586.rpm
    a91491ec0fc827cb6dd55ad2fd0e943f 2.2/rpms/fetchmail-6.2.5.5-1tr.i586.rpm
    03eebacbceda0a9133a30b094327521d 2.2/rpms/sudo-1.6.8p9-3tr.i586.rpm
    

    Trustix Secure Linux 3.0:

    c4054d2f4cd71398414e998cc284d59a 3.0/rpms/clamav-0.88-1tr.i586.rpm
    8bd316759f4d2bcf7f02416ba6940a9b 3.0/rpms/clamav-devel-0.88-1tr.i586.rpm
    5e0710e5ea16f2e1275d44bf457f75dc 3.0/rpms/cups-1.1.23-11tr.i586.rpm
    e3620b786bedf32c448e2a39dcb157e6 3.0/rpms/cups-devel-1.1.23-11tr.i586.rpm
    b38886f3c90753ac58e0232c9bb58571 3.0/rpms/cups-libs-1.1.23-11tr.i586.rpm
    824b16f362cc986645dfd3f5d9ac4550 3.0/rpms/cups-samba-1.1.23-11tr.i586.rpm
    7422c1de49b6ccd89d876238d7005317 3.0/rpms/fetchmail-6.2.5.5-1tr.i586.rpm
    c5171f6d58768c65a86d7185eb3d9d40 3.0/rpms/mod_auth_pgsql-2.0.3-1tr.i586.rpm
    1bf904fee4e276445eb875702189f78a 3.0/rpms/sudo-1.6.8p9-3tr.i586.rpm
    
  4. Apéndices

    http://www.trustix.org/errata/2006/0002/
    http://www.seguridad.unam.mx/vulnerabilidadesDB-vulne=5008
    http://www.seguridad.unam.mx/vulnerabilidadesDB-vulne=4981

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT