Archive for the ‘Linux’ Category

Seguridad: Desbordamiento de memoria en Ghostscript a través de jbig2dec JBIG2

Ha sido encontrada una vulnerabilidad en Ghostscript. Un atacante local podría provocar un desbordamiento de memoria a través de la librería jbig2dec cuando descodifica símbolos de segmentos del diccionario de JBIG2. Este fallo podría ser aprovechado por el atacante para comprometer la seguridad de un usuario del sistema a través de un fichero PDF especialmente manipulado.

Esta vulnerabilidad podría permitir a un atacante la ejecución de código arbitrario en la máquina víctima.

Como solución, se recomienda no aceptar ficheros PDF sospechosos.

[ad]

Seguridad: Moodle: TeX filter 1.x

Se ha detectado una vulnerabilidad en el módulo de Moodle TeX.

Éste no revisa algunos parámetros que se le pasan como entrada a TeX, a través de los cuales un atacante podría incluir y mostrar ficheros binarios.

Se recomienda actualizar el paquete (apt-get update, apt-get upgrade) para que ningún atacante pueda aprovechar esta brecha en la seguridad.

Más información aquí.

[ad]

Seguridad: Squid < 2.7.6 (Gentoo)

Se han encontrado múltiples vulnerabilidades que permiten realizar un ataque DoS.

La función arrayShrink en lib/Array.c permiten encoger un array hasta 0 entradas que provoca un error que no fue corregido en el parche CVE-2007-6239. Una petición elaborada, con una versión inválida a través de HTTP que puede ser vista como válida en HttpMsg.c y HttpStatusLine.c

Como solución, los usuarios deberán actualizar a la última versión de Squid.

Más información: GLSA, CVE.

[ad]

Seguridad: Amarok (Ubuntu 7.10, 8.04 LTS, 8.10)

Esta vulnerabilidad también es aplicable a las versiones: Kubuntu, Edubuntu y Xubuntu. El problema puede corregirse actualizando el paquete a las siguientes versiones:

Ubuntu 7.10:
amarok 2:1.4.7-0ubuntu3.2

Ubuntu 8.04 LTS:
amarok 2:1.4.9.1-0ubuntu3.2

Ubuntu 8.10:
amarok 2:1.4.10-0ubuntu3.1

En general, una simple actualización es suficiente para remediarlo. Ha sido descubierto que Amarok no maneja adecuadamente los tags incorrectos de los ficheros .AA (audible audio). Un usuario malintencionado podría abrirlos, dándole la posibilidad de ejecutar código con los privilegios del que ejecutó el programa.

[ad]

Return top