Fecha del reporte: 16 de mar de 2010

Paquetes afectados: drbd8

Más información: Una vulnerabilidad local ha sido descubierta en drbd8.

Philipp Reisner arreglo un problema en el módulo del núcleo drbd que permite a usuarios locales enviar paquetes netlink para realizar acciones que deberían estar restringidas a usuarios con privilegios CAP_SYS_ADMIN. Este es un problema similar al descripto por CVE-2009-3725.

Esta actualización también arregla un problema de compactibilidad ABI que fue introducido por linux-2.6 (2.6.26-21lenny3). Los paquetes preconstruidos del módulo drbd listados en este aviso requieren paquete linux-image versión 2.6.26-21lenny3 o superior.

Para la distribución estable (lenny), este problema ha sido arreglado en drbd8 (2:8.0.14-2+lenny1).

Le recomendamos actualizar sus paquetes drbd8.

Fecha del reporte: 15 de mar de 2010

Paquetes afectados: pulseaudio

Más información: Dan Rosenberg descubrió que el servidor de sonido PulseAudio crea un directorio temporal con un nombre predecible. Esto permite a atacantes locales crear una condición de denegación de servicio o la posible fuga de información sensible a usuarios no privilegiados.

Para la distribución estable (lenny), este problema ha sido arreglado en la versión 0.9.10-3+lenny2.

Para las distribuciones de pruebas (squeeze) e inestable (sid) este problema será arreglado a la brevedad.

Le recomendamos actualizar sus paquetes pulseaudio.

Original (en inglés): http://lists.debian.org/debian-security-announce/2010/msg00056.html

Fecha del reporte: 13 de mar de 2010

Paquetes afectados: drupal6

Más información: Múltiples vulnerabilidades (SA-CORE-2010-001) han sido descubiertas en drupal6, un completo framework de gestión de contenidos.

* cross site scripting de la instalación: Un valor proporcionado por el usuario es mostrado directamente durante la instalación permitiendo a usuarios maliciosos elaborar un URL y realizar un ataque cross-site scripting. Este fallo solo puede ser explotado en sitios aún no instalados.

* Redirección abierta: La función API drupal_goto() es susceptible a un ataque de pishing. Un atacante puede formular una redirección en un sentido que hace al sitio Drupal enviar al usuario a una URL arbitraria provista. Ninguna información de usuario será enviada a esa URL.

Fecha del reporte: 12 de mar de 2010

Paquetes afectados: moin

Más información: Múltiples vulnerabilidades han sido descubiertas en moin, un clon python de WikiWiki. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:

Fecha del reporte: 11 de mar de 2010

Paquetes afectados: egroupware

Más información: Nahuel Grisolia descubrió dos vulnerabilidades en Egroupware, una suite groupware basada en la web: La falta de saneamiento de entrada en la integración del corrector ortográfico puede conducir a la ejecución de comandos arbitrarios y una vulnerabilidad cross-site scripting fue descubierta en la página de login.

Para la distribución estable (lenny), estos problemas han sido arreglados en la versión 1.4.004-2.dfsg-4.2.

La próxima distribución estable (squeeze), ya no contiene paquetes egroupware.

Le recomendamos actualizar sus paquetes egroupware.

Fecha del reporte: 11 de mar de 2010

Paquetes afectados: linux-2.6

Más información: Dos vulnerabilidades han sido descubiertas en el núcleo linux que pueden conducir a la denegación de servicio o escalamiento de privilegios. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:

Fecha del reporte: 10 de mar de 2010

Paquetes afectados: dpkg

Más información: William Grant descubrió que el componente dpkg-source de dpkg, la infraestructura de bajo nivel para el manejo de la instalación y desinstalación de paquete de software Debian, es vulnerable y ataques de ruta transversal. Un paquete fuente Debian especialmente elaborado puede conducir a la modificación de ficheros exteriores al directorio de destino cuando se extrae el contenido del paquete.

Para la distribución estable (lenny), este problema ha sido arreglado en la versión 1.14.29.

Para la distribución de pruebas (squeeze) y la distribución inestable (sid) este problema será arreglado a la brevedad.

Le recomendamos actualizar sus paquetes dpkg.

Fecha del reporte: 10 de mar de 2010

Paquetes afectados: kvm

Más información: Múltiples vulnerabilidades locales han sido descubiertas en kvm, un completo sistema de virtualización. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:

Fecha del reporte: 09 de mar de 2010

Paquetes afectados: tdiary

Más información: Ha sido descubierto que tdiary, un sistema de weblog con facilidades de comunicación, es debil a una vulnerabilidad cross-site scripting debido a insuficiente saneamiento de la entrada de usuario en el plugin de transmisión TrackBack.

Para la distribución estable (lenny), este problema ha sido arreglado en la versión 2.2.1-1+lenny1.

Para la distribución de pruebas (squeeze), este problema será arreglado a la brevedad.

Para la distribución inestable (sid), este problema ha sido arreglado en la versión 2.2.1-1.1.

Le recomendamos actualizar sus paquetes tdiary.

Fecha del reporte: 08 de mar de 2010

Paquetes afectados: typo3-src

Más información: Múltiples vulnerabilidades remotas han sido descubiertas en el marco de gestión de contenidos web TYPO3: Vulnerabilidades XSS (Cross-site scripting) han sido descubiertas en ambos, el frontend y el backend. También información del usuario puede ser divulgada. Más detalles pueden ser encontrados en el aviso de seguridad Typo3: http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-004/

Para la distribución estable (lenny), estos problemas han sido arreglados en la versión 4.2.5-1+lenny3.