Log in Page Discussion History Go to the site toolbox

040209/dsaresumen

From BluWiki

http://arnet.no-ip.org/iconos/16x16/led_verde.png 25 de ene de 2009 - DSA 1710 -- ganglia-monitor-core -- Desbordamiento de búfer

Spike Spiegel descubrió un desbordamiento de búfer stack-based en gmetad, el meta-daemon para el conjunto de herramientas de monitoreamiento ganglia, que puede ser desencadenado vía una petición con nombres de carpetas largos y puede permitir la ejecución de código arbitrario.

http://arnet.no-ip.org/iconos/16x16/led_verde.png 26 de ene de 2009 - DSA 1711 -- typo3-src -- Ejecución de código arbitrario

Múltiples vulnerabilidades remotamente explotables han sido descubiertas en el framework de gestión de contenidos web TYPO3. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas: la llave de encriptación es generada con una semilla insuficientemente aleatorizada, permite a atacantes tomar el lugar en la sesión de una victima vía un ataque de fijación de sesión, permite a atacantes remotos inyectar web scripts arbitrarios o HTML vía varios argumentos y cadenas de texto suministradas por el usuario y permite a atacantes ejecutar código arbitrario vía un nombre de archivo especialmente elaborado.

http://arnet.no-ip.org/iconos/16x16/led_amarillo.png 28 de ene de 2009 - DSA 1712 -- rt400 -- Desbordamiento íntegro

Fue descubierto que un desbordamiento íntegro en el manejador de paquetes «Probe Request» de los drivers wireless Ralinktech puede conducir a la denegación de servicio remota o la ejecución de código arbitrario.

http://arnet.no-ip.org/iconos/16x16/led_amarillo.png 28 de ene de 2009 - DSA 1713 -- rt500 -- Desbordamiento íntegro

Fue descubierto que un desbordamiento íntegro en el manejador de paquetes «Probe Request» de los drivers wireless Ralinktech puede conducir a la denegación de servicio remota o la ejecución de código arbitrario.

http://arnet.no-ip.org/iconos/16x16/led_amarillo.png 28 de ene de 2009 - DSA 1714 -- rt700 -- Desbordamiento íntegro

Fue descubierto que un desbordamiento íntegro en el manejador de paquetes «Probe Request» de los drivers wireless Ralinktech puede conducir a la denegación de servicio remota o la ejecución de código arbitrario.

http://arnet.no-ip.org/iconos/16x16/led_verde.png 29 de ene de 2009 - DSA 1715 -- moin -- Saneamiento de entrada insuficiente

Fue descubierto que la acción AttachFile en moin, un clon python de wikiwiki, es propenso a ataques por cross-site scripting (CVE-2009-0260). Otra vulnerabilidad de cross-site scripting fue descubierta en la característica anti-spam (CVE-2009-0312).

http://arnet.no-ip.org/iconos/16x16/led_amarillo.png 29 de ene de 2009 - DSA 1705-2 -- netatalk -- Ejecución de código arbitrario

La actualización en el DSA 1705-1 fue incompleta ya que omitía escapar algunos caracteres importantes habilitando a un atacante remoto para sobre-escribir archivos arbitrarios.

http://arnet.no-ip.org/iconos/16x16/led_rojo.png 31 de ene de 2009 - DSA 1716 -- vnc4 -- Ejecución de código arbitrario

Fue descubierto que xvnc4viewer, un programa cliente de computación de redes virtuales para X, es vulnerable a desbordamientos de búfer a través de valores de codificación maliciosos que pueden conducir a la ejecución de código arbitrario.

http://arnet.no-ip.org/iconos/16x16/led_rojo.png 05 de feb de 2009 - DSA 1717 -- devil -- Desbordamiento de búfer

Stefan Cornelius descubrió un desbordamiento de búfer en devil, un conjunto de herramientas multi-plataforma para la carga y manipulación de imagenes, que puede ser desencadenado vía un archivo Radiance RGBE corrupto. Esto puede, potencialmente, conducir a la ejecución de código arbitrario.

http://arnet.no-ip.org/iconos/16x16/led_verde.png 08 de feb de 2009 - DSA 1718 -- boinc -- Eludimiento de verificación

Fue descubierto que el cliente núcleo para la infraestructura de computación distribuida realiza validaciones incorrectas de los valores de retorno de las funciones RSA de OpenSSL.

http://arnet.no-ip.org/iconos/16x16/led_rojo.png 10 de feb de 2009 - DSA 1719 -- gnutls13 -- Debilidades de diseño

Martin von Gagern descubrió que GNUTLS, una implementación del protocolo TLS/SSL, maneja la verificación de las cadenas de certificados X.509 incorrectamente si un certificado auto-firmado es configurado como un certificado de confianza. Esto podría hacer que los clientes acepten certificados de servidores desconocidos como genuinos. (CVE-2008-4989)

http://arnet.no-ip.org/iconos/16x16/led_amarillo.png 10 de feb de 2009 - DSA 1720 -- typo3-src -- Múltiples vulnerabilidades

Múltiples vulnerabilidades remotas han sido descubiertas en el framework de gestión de contenidos web TYPO3. El mecanismo jumpUrl revela hashes secretos permitiendo a un atacante remoto eludir el control de acceso al subir el valor correcto como un parámetro URL y, por lo tanto, ser capaz de leer el contenido de archivos arbitrarios. Múltiples vulnerabilidades cross-site scripting en la interfazdel usuario final permiten a atacantes remotos inyectar web script o HTML arbitrario.

Retrieved from "http://www.bluwiki.com/go/040209/dsaresumen"

Site Toolbox:

Personal tools
GNU Free Documentation License 1.2
 This page was last modified on 10 February 2009, at 23:41.
Disclaimers - About BluWiki