[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
Listas y Foros de Discusion!!
Hace menos de semana y media se publico el boletin UNAM-CERT-09 que
explica las recientes vulnerabilidades en la aplicacion CVS.
http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-009.html
Recientemente se formo un equipo que analizaria parte del codigo en
dicha aplicacion, sus resultados los dieron a conocer el dia de
hoy, en dicho estudio se dieron a conocer recientes vulnerabilidades para
ser precisos 6 nuevas a las ya reportadas.
Recomendamos a los usuarios de CVS actualizar a la reciente version 1.12.9
Su nivel de severidad es Alto debido al impacto de las mismas sobre los
sistemas.
UNAM-CERT esta investigando en la actualidad dichas vulnerabilidades y el
boletin sera actualizado y contendra una descripcion de las mismas en
cuanto se evalue el impacto en casa sistema.
Saludos
- --
Juan Carlos Guel Lopez
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
__________________________________________________________
INFORMATION BULLETIN
Multiple Vulnerabilities in CVS
[CVS Newsfile Revision 1.116.2.104]
June 9, 2004 20:00 GMT Number O-156
______________________________________________________________________________
PROBLEM: CVS, a widely-used version control system, contains security
vulnerabilities.
PLATFORM: CVS Versions prior to 1.11.17
CVS Versions prior to 1.12.9
Red Hat Desktop (v.3)
Red Hat Enterprise Linux AS, ES, WS (v.2.1 and v.3)
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
DAMAGE: The recently discovered vulnerabilities are listed below:
- A flaw was discovered relating to malformed "Entry" lines which
lead to a missing NULL terminator (CAN-2004-0414)
- A double-free relating to the error_prog_name string
(CAN-2004-0416)
- An argument integer overflow (CAN-2004-0417)
- Out-of-bounds writes in serv_notify (CAN-2004-0418)
SOLUTION: Apply security updates. Concurrent Versions Systems recommends
that you upgrade to the newly released CVS Feature Version
1.12.9.
______________________________________________________________________________
VULNERABILITY The risk is HIGH. An attacker who has access to a CVS server
ASSESSMENT: may be able to execute arbitrary code under the UID on which
the CVS server is executing.
______________________________________________________________________________
LINKS:
ORIGINAL BULLETIN: https://ccvs.cvshome.org/servlets/NewsItemView?newsItemID=110
https://ccvs.cvshome.org/servlets/NewsItemView?newsItemID=111
ADDITIONAL LINK: https://rhn.redhat.com/errata/RHSA-2004-233.html
CVE/CAN: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0414
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0416
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0417
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0418
______________________________________________________________________________
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBQMcG6nAvLUtwgRsVAQH6WAf/VgPXJpC6ayJtrYcXsy+pn8G1G+memFbx
8X3ps+DZXni+snmMiLydEOBv0Zxb6KWGz7jZDhNWsJrRpN9KIc92bkgt+C/tjnL1
HrOcdU/V2MNjNMm5N0rDqV4/dCG8uHXT0icbnci3Nefkqn8fwakgTw3/HlEDhoNi
bMoS7Pks3NnQ+VVXp0S12QHgxhfaizv8eWyoSTSiXFZUbncCxAEfeYCQBluoI3yl
OKQBuz0sTcjeHO/4k4iz1CF+jwK38ortuFT2YW7YRdpxCli96L3Ez6xQ+2Xna3cU
Jk1m9X/BAIt/jMyz63PVtuOOIsMAFg7RYge+B7/xc3M/tuocx1AqaQ==
=8m6T
-----END PGP SIGNATURE-----
Lista de correo linux en opensource org mx
Preguntas linux-owner en opensource org mx
http://www.opensource.org.mx/