Coordinación de Seguridad de la Información

Coordinación de Seguridad de la Información

Información y servicios de seguridad en cómputo

1 2 3 4 5 6 7

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-522 Actualización para múltiples vulnerabilidades de NetBSD.

Se reportaron varias vulnerabilidades en NetBSD, que pueden explotarse para escalar privilegios, ocasionar una negación de servicio (DoS), burlar ciertas restricciones de seguridad y comprometer un sistema vulnerable.

  • Fecha de Liberación: 2-Nov-2005
  • Ultima Revisión: 3-Nov-2005
  • Fuente:

    NetBSD Security Advisory
    2005-004
    2005-006
    2005-008
    2005-009
    2005-010
    2005-011
    2005-013

  • CVE ID: CAN-2004-0396 CAN-2004-0414 CAN-2004-0416 CAN-2004-0417 CAN-2004-0418 CAN-2005-0468 CAN-2005-0469 CAN-2005-0753 CAN-2005-2496 CAN-2005-2693 CAN-2005-2969
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Múltiples vulnerabilidades

Sistemas Afectados

NetBSD 1.6
NetBSD 2.1
  1. Descripción

    se reportaron varias vulnerabilidades en NetBSD, que pueden explotarse por usuarios locales para escalar privilegios, ocasionar una negación de servicio (DoS) y comprometer un sistema vulnerable o por personas maliciosas para burlar ciertas restricciones de seguridad y comprometer el sistema de un usuario.

    1. Existen varios errores en el control de los límites de la memoria en el cliente de telnet, esto puede explotarse por personas maliciosas para comprometer el sistema de un usuario.

    2. Existen varias vulnerabilidades en CVS. Estas pueden explotarse por usuarios maliciosos para ocasionar una negación de servicio (DoS) y comprometer un sistema vulnerable o para escalar privilegios dentro de un sistema vulnerable.

    3. Un desbordamiento de variable en el código compatible con FreeBSD puede utilizarse para corromper la memoria. Esto podría explotarse por usuarios locales para ocasionar un DoS y posiblemente ejecutar código arbitrario con los privilegios de root.

    4. Archivos temporales son creados de forma insegura dentro del directorio "/temp" por "imake" cuando se generan las paginas de manual. Esto puede explotarse via ligas simbólicas para crear o sobrescribir archivos arbitrarios con los privilegios del usuario que este corriendo un script vulnerable.

    5. Existe una vulnerabilidad en OpenSSL, que podría explotarse por personas malciosas para burlar ciertas restricciones de seguridad.

    6. Existe un hueco de seguridad en ntpd, que puede ocasionar que "ntpd" corra con permisos de grupo incorrectos.

    7. Existe un error en la función "ptrace()" cuando verifica los privilegios de los procesos antes de agregarse a un proceso. Esto puede explotarse para escalar privilegios alterando el comportamiento de un proceso o inyectando llamadas al sistema.

  2. Impacto

    Security Bypass.

    Escalación de privilegios.

    Negación de servicio (DoS).

    Acceso al sistema.

  3. Solución

    Las vulnerabilidades fuerón corregidas en las siguientes versiones:

    * NetBSD-current (Octubre 31, 2005)
    * NetBSD-1.6 branch (Noviembre 1, 2005)
    
  4. Apéndices

    Mayor información.

    ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2005-004.txt.asc
    ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2005-006.txt.asc
    ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2005-008.txt.asc
    ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2005-009.txt.asc
    ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2005-010.txt.asc
    ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2005-011.txt.asc
    ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2005-013.txt.asc

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México AENOR LOGO FIRST LOGO Aviso legal |  Créditos |  Staff |  Acerca |  Contacto |  FTP |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT