1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2802/03/2009=29_Actualizaci=F3n_de_m=FAltipl

    From noticias@hispasec.com@2:341/201.99 to All on Tue Mar 3 04:00:02 2009
    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 02/03/2009
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    Actualización de múltiples paquetes para SuSE Linux
    ---------------------------------------------------

    SuSE ha publicado una actualización para múltiples paquetes de diversos productos SuSE Linux que corrigen numerosos problemas de seguridad.
    De forma resumida, las vulnerabilidades son:

    * Se ha corregido un error en el servidor dhcp a través del parámetro 'dhcp-max-message-size' que podría ocasionar un desbordamiento de
    enteros. Esto podría ser aprovechado por un atacante para causar una
    denegación de servicio.

    * Se ha corregido un error en la validación del valor devuelto por la
    función de 'EVP_VerifyFinal' de OpenSSL. Esto podría ser aprovechado por
    un atacante remoto para evadir restricciones de seguridad a través de certificados de seguridad especialmente manipulados.

    * Se ha corregido un error en el servidor squid en los archivos
    'httpmsg.c' y 'httpstatusline.c' a través de una solicitud HTTP con un
    número de versión no válido que podría ser aprovechada por un atacante
    remoto para causar una denegación de servicio.

    * Se han corregido múltiples denegaciones de servicio en el programa
    wireshark a través de ficheros que contengan datos del tipo 'NetScreen',
    al leer ficheros de capturas 'Tektronix 12' y al leer la variable 'HOME'
    con información especialmente manipulada.

    * Se ha corregido un error en la librería libpng a través de archivos
    'png' especialmente manipulados. Esto podría ser aprovechado por un
    atacante para ejecutar código arbitrario.

    * Se ha corregido un error en pam_mount que podría ser aprovechado por
    un atacante para llevar acabo ataques basados en enlaces simbólicos y
    acceder a información sensible.

    * Se ha corregido un error en enscript en la función
    'recognize_eps_file' localizada en el fichero 'src/psgen.c' y en la
    función 'tilde_subst function' localizada en el fichero 'src/util.c' a
    través de direcciones de nombres especialmente largas que podrían causar
    un desbordamiento de memoria intermedia. Esto podría ser aprovechado por
    un atacante remoto para ejecutar código arbitrario.

    * Se ha corregido un error en eID-belgium al no chequear correctamente
    los valores de la función 'OpenSSL EVP_VerifyFinal', esto podría
    permitir a un atacante remoto eludir la validación de certificados
    SSL/TSL.

    * Se ha corregido varios errores en gstreamer-0_10-plugins-good que
    podría provocar un desbordamiento de memoria intermedia. Esto podría ser aprovechado por un atacante para ejecutar código arbitrario.

    Se recomienda actualizar a través de las herramientas automáticas YoU
    (Yast Online Update).

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3782/comentar

    Más información:

    [security-announce] SUSE Security Summary Report: SUSE-SR:2009:005 http://lists.opensuse.org/opensuse-security-announce/2009-03/msg00000.html


    Laboratorio Hispasec
    laboratorio@hispasec.com


    Tal día como hoy:
    -----------------

    02/03/2008: Vulnerabilidades en Juniper Networks Secure Access 2000
    http://www.hispasec.com/unaaldia/3417

    02/03/2007: Desbordamiento de contador de referencias en PHP 4
    http://www.hispasec.com/unaaldia/3051

    02/03/2006: "Guillermito" pierde la apelación en el juicio con Tegam
    http://www.hispasec.com/unaaldia/2686

    02/03/2005: Liberado, para uso personal y educativo, el libro "The Code Book"
    http://www.hispasec.com/unaaldia/2321

    02/03/2004: Desbordamiento de buffer en diferentes versiones de WinZip
    http://www.hispasec.com/unaaldia/1955

    02/03/2003: Proposición de la Agencia de Seguridad Europea (NISA)
    http://www.hispasec.com/unaaldia/1589

    02/03/2002: Mail relaying en servidores Windows 2000 y Exchange 5.5
    http://www.hispasec.com/unaaldia/1224

    02/03/2001: La password de los Palm no sirven como protección
    http://www.hispasec.com/unaaldia/859

    02/03/2000: Problemas con el 29 de febrero
    http://www.hispasec.com/unaaldia/492

    02/03/1999: NetBus Pro 2.0, nueva versión del troyano
    http://www.hispasec.com/unaaldia/126


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2009 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)