1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2804/01/2009=29_Diversas_vulnerabilidades_en

    From noticias@hispasec.com@2:341/201.99 to All on Mon Jan 5 21:40:00 2009
    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 04/01/2009
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    Diversas vulnerabilidades en RealNetworks Helix Server
    ------------------------------------------------------

    Se ha anunciado la existencia de cuatro diferentes vulnerabilidades en
    los servidores RealNetworks Helix Server versiones 11 y 12, que podrían
    ser explotadas por usuarios maliciosos para provocar denegaciones de
    servicio o incluso comprometer los sistemas afectados.

    El primero de los problemas reside en un desbordamiento de búfer en el tratamiento de comandos RTSP DESCRIBE que podría ser empleado para
    lograr ejecutar código arbitrario sin necesidad de autenticación ni
    interacción por parte del usuario.

    Otro desbordamiento de búfer se produce a través de comandos RTSP SETUP, mediante el envío de tres peticiones específicamente creadas al puerto
    554 del servidor afectado.

    Un tercer desbordamiento de búfer en "DataConvertBuffer" también permite
    la ejecución de código arbitrario.

    Por último, otro desbordamiento de búfer de datos codificados en Base64
    en la autenticación NTLM también puede permitir la ejecución de código arbitrario.

    Las vulnerabilidades están confirmadas en Helix Server versión 11.x y
    12.x y en Helix Mobile Server versión 11.x y 12.x.

    Se recomienda actualizar a las versiones 11.1.8 o 12.0.1.

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3725/comentar

    Más inforación:

    RealNetworks
    http://docs.real.com/docs/security/SecurityUpdate121508HS.pdf


    Laboratorio Hispasec
    laboratorio@hispasec.com


    Tal día como hoy:
    -----------------

    04/01/2008: Microsoft publicará dos boletines de seguridad el próximo martes
    http://www.hispasec.com/unaaldia/3359

    04/01/2007: Vulnerabilidades en plugin de Adobe Reader 7 para navegadores bajo Windows
    http://www.hispasec.com/unaaldia/2994

    04/01/2006: Nuevos contenidos en CriptoRed (diciembre de 2005)
    http://www.hispasec.com/unaaldia/2629

    04/01/2005: Más de 5.900 alertas de seguridad en el 2004 a través de SANA
    http://www.hispasec.com/unaaldia/2264

    04/01/2004: Nuevos contenidos en CriptoRed (diciembre 2003)
    http://www.hispasec.com/unaaldia/1897

    04/01/2003: Vulnerabilidad en la cadena de certificados de Windows
    http://www.hispasec.com/unaaldia/1532

    04/01/2002: Informe sobre las pérdidas económicas debidas a virus
    http://www.hispasec.com/unaaldia/1167

    04/01/2001: Posibilidad de ejecución de código mediante Flash
    http://www.hispasec.com/unaaldia/802

    04/01/2000: Problema de seguridad en todas las versiones de War-FTP
    http://www.hispasec.com/unaaldia/434

    04/01/1999: Clonación de tarjetas de red
    http://www.hispasec.com/unaaldia/69


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2009 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)