011008/dsaresumen

From BluWiki

[16 de sep de 2008] [DSA-1638] openssh -- Denegación de servicio

• http://www.esdebian.org/dsa/26199/dsa-1638-openssh-denegacion-servicio
• Problemas en la implementación del timeout hacía posible que se acumularan procesos de inicio de sesión hasta consumir todos los recursos disponibles y provocar denegación de servicios.

[19 de sep de 2008] [DSA-1639] twiki -- Ejecución de código arbitrario

• http://www.esdebian.org/dsa/26232/dsa-1639-twiki-ejecucion-codigo
• Error en el análisis de la sintaxis de imágenes durante la configuración habría permitida la ejecución de código arbitrario.

[20 de sep de 2008] [DSA-1640] python-django -- Falsificación de petición en sitios cruzados

• http://www.esdebian.org/dsa/26243/dsa-1640-python-django-falsificacion-peticion-sitios-cruzados
• Una característica que permite conservar información entre peticiones permite, también, a un atacante modificar las peticiones de otro usuario permitiendo el cross-site scripting.

[20 de sep de 2008] [DSA-1641] phpmyadmin -- Múltiples vulnerabilidades

• http://www.esdebian.org/dsa/26244/dsa-1640-phpmyadmin-multiples-vulnerabilidades
• Falta de control sobre los datos de entrada permitió a atacantes remotos ejecutar código arbitrario en el servidor controlando los parametros del script.

[20 de sep de 2008] [DSA-1642] horde3 -- Petición en sitios cruzados

• http://www.esdebian.org/dsa/26245/dsa-1640-horde3-peticion-sitios-cruzados
• Error de implementación que permitía forzar a horde3 a realizar peticiones de sitios enviándole mails mime especialmente elaborados.

[20 de sep de 2008] [DSA-1634-2] wordnet -- Regresión

• http://www.esdebian.org/dsa/26246/dsa-1634-2-wordnet-regresion
• Un error reflejado fue encontrado en el parche del DSA-1634-1

[22 de sep de 2008] [DSA-1619-2] python-dns -- Regresión

• http://www.esdebian.org/dsa/26273/dsa-1619-2-python-dns-regresion
• El parche del DSA-1619-1 rompió la compatibilidad con resolución de nombre unicode, esta actualización la repara.