Nuevo paquete NTP corrige vulnerabilidad de cifrado

Se ha descubierto que NTP, una implementación del protocolo de tiempo de red, no verifica correctamente el resultado de una función OpenSSL que verifica firmas cifradas, lo cual podría permitir la aceptación de información de tiempo no autenticada. (Ten en cuenta que la autenticación cifrada de los servidores de tiempo no está habilitada por defecto).

Para la distribución estable (etch), este problema ha sido resuelto en la versión 4.2.2.p4+dfsg-2etch1.

La distribución lenny será corregida pronto.

bookmark bookmark bookmark bookmark

Link permanente a Nuevo paquete NTP corrige vulnerabilidad de cifrado

January 13th, 2009 | Posted in Alertas Seguridad | No Comments

Nuevo paquete OpenSSL corrige vulnerabilidad de cifrado

Se descubrió que OpenSSL no verifica correctamente las firmas DSA on los sertificados X.509 por un mal uso de una API, lo que potencialmente permite aceptar certificados X.509 incorrectos (CVE-2008-5077).

Para la distribución estable (etch), este problema ha sido resuelto en la versión 0.9.8c-4etch4 del paquete openssl y la versión 0.9.7k-3.1etch2 del paquete openssl097.

La distribución lenny será corregida pronto.

bookmark bookmark bookmark bookmark

Link permanente a Nuevo paquete OpenSSL corrige vulnerabilidad de cifrado

January 13th, 2009 | Posted in Alertas Seguridad | No Comments

Nuevo paquete lighttpd corrige varios problemas

Aviso de seguridad del equipo debian DSA 1645-1

Varias vulnerabilidades locales/remotas han sido descubiertas en lighttpd.

Las vulnerabilidades son las siguientes:

CVE-2008-4298
Una fuga de memoria en la función http_request_parse podría ser usada por un atacante remoto para hacer a lighttpd consumir memoria y causar un DoS.

CVE-2008-4359
El manejo inconsistente de patrones URL, podría conducir a la revelación de recursos que un administrador del sistema no tuvo en cuenta cuando uso reescritura de urls (rewrite).

Continua leyendo Nuevo paquete lighttpd corrige varios problemas...

October 7th, 2008 | Posted in Alertas Seguridad | No Comments

Ejecución arbritraria en el paquete tiff

Aviso de seguridad del equipo debian DSA 1632-1

Drew Yao descubrió que libTIFF, una librería que maneja el formati TIFF (Tagged Image File Format), es vulnerable a errores d
e programación, permitiendo a archivos tiff modificados ejecutar código arbitrario.

Para la distribución estable, estos problemas han sido solucionados en la versión 3.8.2-7+etch1.

bookmark bookmark bookmark bookmark

Link permanente a Ejecución arbritraria en el paquete tiff

August 27th, 2008 | Posted in Alertas Seguridad | No Comments

Ejecución de código arbitrario corregido en el paquete libxslt.

Aviso de seguridad del equipo de Debian DSA 1624-1.

Chris Evans descubrió que un buffer overflow in las funciones RC4 de libxslt podría permitir la ejecución de codigo arbitra
rio.

Para la distribución estable (etch), este problema ha sido resuelto en la versión 1.1.19-3.

bookmark bookmark bookmark bookmark

Link permanente a Ejecución de código arbitrario corregido en el paquete libxslt.

August 1st, 2008 | Posted in Alertas Seguridad | No Comments