[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- Listas y Foros de Discusion!! Hace menos de semana y media se publico el boletin UNAM-CERT-09 que explica las recientes vulnerabilidades en la aplicacion CVS. http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-009.html Recientemente se formo un equipo que analizaria parte del codigo en dicha aplicacion, sus resultados los dieron a conocer el dia de hoy, en dicho estudio se dieron a conocer recientes vulnerabilidades para ser precisos 6 nuevas a las ya reportadas. Recomendamos a los usuarios de CVS actualizar a la reciente version 1.12.9 Su nivel de severidad es Alto debido al impacto de las mismas sobre los sistemas. UNAM-CERT esta investigando en la actualidad dichas vulnerabilidades y el boletin sera actualizado y contendra una descripcion de las mismas en cuanto se evalue el impacto en casa sistema. Saludos - -- Juan Carlos Guel Lopez UNAM-CERT Equipo de Respuesta a Incidentes UNAM DGSCA, UNAM E-mail: unam-cert en seguridad unam mx Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43 Del. Coyoacan WWW: http://www.seguridad.unam.mx 04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx __________________________________________________________ INFORMATION BULLETIN Multiple Vulnerabilities in CVS [CVS Newsfile Revision 1.116.2.104] June 9, 2004 20:00 GMT Number O-156 ______________________________________________________________________________ PROBLEM: CVS, a widely-used version control system, contains security vulnerabilities. PLATFORM: CVS Versions prior to 1.11.17 CVS Versions prior to 1.12.9 Red Hat Desktop (v.3) Red Hat Enterprise Linux AS, ES, WS (v.2.1 and v.3) Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor DAMAGE: The recently discovered vulnerabilities are listed below: - A flaw was discovered relating to malformed "Entry" lines which lead to a missing NULL terminator (CAN-2004-0414) - A double-free relating to the error_prog_name string (CAN-2004-0416) - An argument integer overflow (CAN-2004-0417) - Out-of-bounds writes in serv_notify (CAN-2004-0418) SOLUTION: Apply security updates. Concurrent Versions Systems recommends that you upgrade to the newly released CVS Feature Version 1.12.9. ______________________________________________________________________________ VULNERABILITY The risk is HIGH. An attacker who has access to a CVS server ASSESSMENT: may be able to execute arbitrary code under the UID on which the CVS server is executing. ______________________________________________________________________________ LINKS: ORIGINAL BULLETIN: https://ccvs.cvshome.org/servlets/NewsItemView?newsItemID=110 https://ccvs.cvshome.org/servlets/NewsItemView?newsItemID=111 ADDITIONAL LINK: https://rhn.redhat.com/errata/RHSA-2004-233.html CVE/CAN: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0414 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0416 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0417 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0418 ______________________________________________________________________________ -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQEVAwUBQMcG6nAvLUtwgRsVAQH6WAf/VgPXJpC6ayJtrYcXsy+pn8G1G+memFbx 8X3ps+DZXni+snmMiLydEOBv0Zxb6KWGz7jZDhNWsJrRpN9KIc92bkgt+C/tjnL1 HrOcdU/V2MNjNMm5N0rDqV4/dCG8uHXT0icbnci3Nefkqn8fwakgTw3/HlEDhoNi bMoS7Pks3NnQ+VVXp0S12QHgxhfaizv8eWyoSTSiXFZUbncCxAEfeYCQBluoI3yl OKQBuz0sTcjeHO/4k4iz1CF+jwK38ortuFT2YW7YRdpxCli96L3Ez6xQ+2Xna3cU Jk1m9X/BAIt/jMyz63PVtuOOIsMAFg7RYge+B7/xc3M/tuocx1AqaQ== =8m6T -----END PGP SIGNATURE----- Lista de correo linux en opensource org mx Preguntas linux-owner en opensource org mx http://www.opensource.org.mx/