Se ha descubierto que NTP, una implementación del protocolo de tiempo de red, no verifica correctamente el resultado de una función OpenSSL que verifica firmas cifradas, lo cual podría permitir la aceptación de información de tiempo no autenticada. (Ten en cuenta que la autenticación cifrada de los servidores de tiempo no está habilitada por defecto).

Para la distribución estable (etch), este problema ha sido resuelto en la versión 4.2.2.p4+dfsg-2etch1.

La distribución lenny será corregida pronto.

Se descubrió que OpenSSL no verifica correctamente las firmas DSA on los sertificados X.509 por un mal uso de una API, lo que potencialmente permite aceptar certificados X.509 incorrectos (CVE-2008-5077).

Para la distribución estable (etch), este problema ha sido resuelto en la versión 0.9.8c-4etch4 del paquete openssl y la versión 0.9.7k-3.1etch2 del paquete openssl097.

La distribución lenny será corregida pronto.

Aviso de seguridad del equipo de Debian: DSA 1681-1

Múltiples vulnerabilidades han sido descubiertas en el kernel Linux que podrían permitir una denegación de servicio o escalada de privilegios. Los problemas identificados son los siguientes:

CVE-2008-3527

Tavis Ormandy, avisó de una denegación de servicio local y una escalada de privilegios potencial en la implementación vDSO.

CVE-2008-3528

Aviso de seguridad del equipo de Debian: DSA 1681-1

Se han descubierto múltiples vulnerabilidades en el kernel Linux que podrían generar una denegación de servicios o escalada de privilegios. Los problemas identificados en estas vulnerabilidades son los siguientes:

CVE-2008-3528

Eugene Teo ha reportado una denegación de servicio local por un fallo en los sistemas de ficheros ext2 y ext3. Usuarios locales con el privilegio de montar sistemas de ficheros podrían hacer un sistema de ficheros corrupto que causase que el kernel generase salidas de error en un bucle infinito.

Aviso de seguridad del equipo de Debian: DSA 1678-1

Paul Szabo ha redescubierto una vulnerabilidad en la función File::Path::rmtree de Perl. Era posible explotar un tipo de condicion para crear binarios setuid en un árbol de directorio o borrar arbitrariamente archivos cuando un proceso esta borrando en ese árbol. Este fallo se conoció originalmente como CVE-2005-0448 y CVE-2004-0452, el cuál se mencionó en el aviso de seguridad DSA-696-1 y DSA-620-1. Desafortunadamente, se reintrodujeron después.

Aviso de seguridad del equipo de Debian: DSA 1655-1

Múltiples vulnerabilidades han sido descubiertas en el kernel Linux que posibilitarían una denegación de servicio, escalada de privilegios o fugas de información sensible. Los siguientes problemas han sido identificados:

CVE-2008-1514

Jan Kratochvil avisó de una vulnerabilidad en la interfaz ptrace para la arquitectura s390 que podría provocar un denegación de servicio local. Usuarios locales podríaan activar un puntero invalido, posibilitando un kernel panic.

Aviso de seguridad del equipo de Debian: DSA 1653-1

Múltiples vulnerabilidades han sido descubiertas en el kernel Linux, que podrían posibilitar una denegación de servicio o una escalada de privilegios. Se han detectado los siguientes problemas:

CVE-2007-6716

Joe Jin reportó una vulnerabilidad local que permite a los usuarios de sistema realizr un denegación de servicio debido a una inadecuada estructura de datos inicializada.

CVE-2008-1514