1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-552 SUSE liberó actualizaciones para varios paquetes.

SUSE liberó actualizaciones para varios paquetes. Estas reparan varias vulnerabilidades, que pueden explotarse para realizar ataques de Cross-site Scripting, ocasionar una negación de servicio (DoS) y comprometer un sistema vulnerable.

  • Fecha de Liberación: 21-Nov-2005
  • Ultima Revisión: 22-Nov-2005
  • Fuente:

    SUSE Security Report
    SUSE-SR:2005:027

  • CVE ID: CAN-2005-2628 CAN-2005-2917 CAN-2005-2958 CAN-2005-3167 CAN-2005-3258 CAN-2005-3323 CAN-2005-3351 CAN-2005-3523
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Múltiples vulnerabilidades

Sistemas Afectados

SUSE Linux 7.x
SUSE Linux 8.x
SUSE Linux 9.0
SUSE Linux 9.1
SUSE Linux 9.2
SUSE Linux 9.3
SUSE Linux Connectivity Server
SUSE Linux Database Server
SUSE Linux Desktop 1.x
SUSE Linux Enterprise Server 7
SUSE Linux Enterprise Server 8
SUSE Linux Enterprise Server 9
SUSE Linux Firewall on CD/Admin Host
SUSE Linux Office Server
SUSE Linux Openexchange Server 4.x
SUSE Linux Standard Server 8
  1. Descripción

    SUSE liberó actualizaciones para varios paquetes. Estas reparan varias vulnerabilidades, estas reparan varias vulnerabilidades, que pueden explotarse por personas maliciosas para realizar ataques de Cross-site Scripting, ocasionar una negación de servicio (DoS) y comprometer un sistema vulnerable.

      Las vulnerabilidades corregidas incluyen:

    • libgda tenia dos errores de formato de cadena en sus rutinas de acceso que podían utilizarse para ejecutar código arbitrario via aplicaciones que utilizaban la biblioteca.

    • Desbordamiento de memoria en flash-player, se actualizó a la versión 7.0.25.

      Ver:
      Ejecución de código arbitrario en Flash Player de Macromedia al manejar archivos SWF.
      http://www.seguridad.unam.mx/vulnerabilidadesDB/?vulne=4896

    • Un error de formato de cadena en gpsdrive, que permitía la ejecución de código arbitrario.

      Ver:
      Vulnerabilidad de formato de cadena en 'friendsd2' de GpsDrive.
      http://www.seguridad.unam.mx/vulnerabilidadesDB/?vulne=4908

    • Dos errores en Squid que podían explotarse para tirar la aplicación. En el modo de autenticación NTLM y en las respuestas a servidores FTP.

    • Negación de servicio en spamassasin, al recibir un correo con la cabecera "To:" muy larga.

    • Un manejo inseguro de CSS con Internet Explorer podía permitir realizar ataques de Cross-site Scripting via la inyección de código JavaScript en los clientes que utilizaban dicho navegador.

  2. Impacto

    Cross-site Scripting.

    Negación de servicio (DoS)

    Acceso al sistema.

  3. Solución

    Aplicar los paquetes actualizados.

    Las actualizaciones se pueden obtener utilizando YaST Online Update o via el sitio FTP de SUSE.

  4. Apéndices

    Mayor información.

    http://lists.suse.com/archive/suse-security-announce/2005-Nov/0007.html
    http://www.seguridad.unam.mx/vulnerabilidadesDB/?vulne=4896
    http://www.seguridad.unam.mx/vulnerabilidadesDB/?vulne=4915

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT