1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2006-013 Debian liberó una actualización para pound.

Debian liberó una actualización para pound. Esta repara dos vulnerabilidades que podrían explotarse para realizar Smuggling Attacks a HTTP y comprometer un sistema vulnerable.

  • Fecha de Liberación: 10-Ene-2006
  • Ultima Revisión: 11-Ene-2006
  • Fuente:

    Debian Security Advisory
    DSA-934-1 pound

  • CVE ID: CAN-2005-1391 CAN-2005-3751
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Buffer overflow

Sistemas Afectados

Debian GNU/Linux 3.1 alias sarge Pound 1.8.2-1
Debian GNU/Linux unstable alias sid Pound 1.9.4-1
  1. Descripción

    Debian liberó una actualización para pound. Esta repara dos vulnerabilidades que podrían explotarse por personas maliciosas para realizar Smuggling Attacks a HTTP y comprometer un sistema vulnerable.

    • La vulnerabilidad es ocasionada por un error de frontera en la función "add_port()" y puede ser explotado para ocasionar un desbordamiento de memoria al suplirle un nombre de host muy grande.

      Ver:
      Vulnerabilidad de Buffer Overflow en la función add_port() de Pound.
      http://www.seguridad.unam.mx/vulnerabilidades/?id=vulnerabilidad-2005-180.html

    • La vulnerabilidad es ocasionada por un error en la forma que se manejan peticiones HTTP maliciosas que tengan al mismo tiempo las cabeceras "Transfer-Encoding" y "Content-Length" y podría explotarse para hacer que Pound reenvié peticiones HTTP maliciosas en el cuerpo de la página Web, las que podrían procesarse como peticiones separadas por el servidor que las reciba.

  2. Impacto

    Security Bypass.

    Cross-site Scripting.

    Manipulación de datos.

    Negación de servicio (DoS).

    Acceso al sistema.

  3. Solución

    Aplicar los paquetes actualizados.

    -- Debian GNU/Linux 3.1 (sarge) --

    Código fuente:
    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1.dsc
    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1.diff.gz
    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2.orig.tar.gz

    Alpha:
    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_alpha.deb

    AMD64:
    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_amd64.deb

    ARM:
    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_arm.deb

    Intel IA-32:
    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_i386.deb

    Intel IA-64:
    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_ia64.deb

    HPPA:
    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_hppa.deb

    Motorola 680x0:
    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_m68k.deb

    Big endian MIPS:
    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_mips.deb

    Little endian MIPS:
    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_mipsel.deb

    PowerPC:
    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_powerpc.deb

    IBM S/390:
    http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_s390.deb

    -- Debian GNU/Linux unstable alias sid --

    Corregido en la versión 1.9.4-1

  4. Apéndices

    http://www.debian.org/security/2006/dsa-934
    http://www.seguridad.unam.mx/vulnerabilidades/?id=vulnerabilidad-2005-180.html

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT