Aviso de seguridad del equipo de Debian: DSA 1655-1

Múltiples vulnerabilidades han sido descubiertas en el kernel Linux que posibilitarían una denegación de servicio, escalada de privilegios o fugas de información sensible. Los siguientes problemas han sido identificados:

CVE-2008-1514

Jan Kratochvil avisó de una vulnerabilidad en la interfaz ptrace para la arquitectura s390 que podría provocar un denegación de servicio local. Usuarios locales podríaan activar un puntero invalido, posibilitando un kernel panic.

Aviso de seguridad del equipo de Debian: DSA 1653-1

Múltiples vulnerabilidades han sido descubiertas en el kernel Linux, que podrían posibilitar una denegación de servicio o una escalada de privilegios. Se han detectado los siguientes problemas:

CVE-2007-6716

Joe Jin reportó una vulnerabilidad local que permite a los usuarios de sistema realizr un denegación de servicio debido a una inadecuada estructura de datos inicializada.

CVE-2008-1514

Aviso de seguridad del equipo de Debian: DSA 1647-1
Multiples vulnerabilidades han sido descubiertas en php. Los problemas descubiertos han sido:

CVE-2008-3658
Desbordamiento de buffer en la función imageloadfont, permite un DoS o ejecución de código a través de un archivo de fuente modificado.

CVE-2008-3659
Desbordamiento de buffer en la función memnstr permite un DoS o ejecución de codigo a través de un delimitador de parametros modificado a la función explode.

Aviso de seguridad del equipo debian DSA 1645-1

Varias vulnerabilidades locales/remotas han sido descubiertas en lighttpd.

Las vulnerabilidades son las siguientes:

CVE-2008-4298
Una fuga de memoria en la función http_request_parse podría ser usada por un atacante remoto para hacer a lighttpd consumir memoria y causar un DoS.

CVE-2008-4359
El manejo inconsistente de patrones URL, podría conducir a la revelación de recursos que un administrador del sistema no tuvo en cuenta cuando uso reescritura de urls (rewrite).

Aviso de seguridad del equipo debian DSA 1638-1

Se ha descubierto que el manejador de señal implementado en el timeout del login en Debian para el OpenSSH server, usa funciones, las cuales no son “async-signal-safe”, posibilitando una denegación de servicio.

El problema fue corregido originalmente en OpenSSH 4.4p1 (CVE-2006-5051), pero el parche subido para la versión etch era incorrecto. También se han observado procesos con “[net]” en su nombre.

Aviso de seguridad del equipo debian DSA 1636-1

Han sido descubiertas varias vulnerabilidades en el kernel Linux que podrían provocar un DoS o fugas de información sensible. Las vulnerabilidades mas comunes y sus riegos identifican los siguientes problemas:

CVE-2008-3272

Tobias Klein reportó una fuga de datos localmente explotable en la función snd_seq_oss_synth_make_info(). Esto podría permitir a usuarios locales ganar acceso a información sensible.

CVE-2008-3275

Aviso de seguridad del equipo debian DSA 1632-1

Drew Yao descubrió que libTIFF, una librería que maneja el formati TIFF (Tagged Image File Format), es vulnerable a errores d
e programación, permitiendo a archivos tiff modificados ejecutar código arbitrario.

Para la distribución estable, estos problemas han sido solucionados en la versión 3.8.2-7+etch1.