DSA
Fecha del reporte: 31 de ago 2010
Paquetes afectados: wireshark
Más información: Varios errores de implementacion en el disector del analizador de tráfico de red de Wireshark para el protocolo de ASN.1 BER, y en la máquina virtual del descompresor universal de SigComp, pueden dar a lugar a la ejecución de código arbitrario.
Para la distribución estable (lenny), este problema ha sido corregido en la versión 1.0.2-3+lenny10.
Para la distribución inestable (sid) ha sido corregido en la versión 1.2.10-1.
Le recomendamos actualizar el paquete wireshark
Original (en inglés): http://www.debian.org/security/2010/dsa-2101
Fecha del reporte: 30 de ago 2010
Paquetes afectados: openssl
Más información: George Guninski ha descubierto un doble libre en el código ECDH, de la biblioteca de criptografía OpenSSL, que podria conducir a la denegación de servicio y potencialmente la ejecución de código arbitrario.
Para la distribución estable (lenny), este problema ha sido corregido en la versión 0.9.8g-15+lenny8.
Para la distribución inestable (sid) ha sido corregido en la versión 0.9.8o-2.
Le recomendamos actualizar el paquete openssl
Original (en inglés): http://www.debian.org/security/2010/dsa-2100
Fecha del reporte: 30 de ago 2010
Paquetes afectados: openoffice.org
Más información: Charlie Miller ha descubierto dos vulnerabilidades en OpenOffice.org Impress, que pueden ser explotadas para comprometer el sistema del usuario y ejecutar código arbitrario.
- Un error de truncamiento de entero cuando se analiza cierto contenido, puede ser aprovechado para provocar un desbordamiento de un búfer de memoria, a través de un archivo especialmente diseñado.
- Un error de desbordamiento de entero corto cuando se analiza cierto contenido, puede ser aprovechado para provocar un desbordamiento de un búfer de memoria, a través de un archivo especialmente diseñado.
Para la distribución estable (lenny), este problema ha sido corregido en la versión 2.4.1+dfsg-1+lenny8 .
Para la distribución inestable (sid) y testing (squeeze) ha sido corregido en la versión 3.2.1-6 .
Fecha del reporte: 29 de ago 2010
Paquetes afectados: typo3-src
Más información: Varias vulnerabilidades remotas han sido descubiertas en el framework de gestión de contenido web de TYPO3: cross-site scripting,redirección abierta, inyección SQL, captura de la autenticación y la gestión de sesiones, random inseguro, la divulgación de la información y la ejecución de código arbitrario. Más detalles se pueden encontrar en el aviso de seguridad de Typo3.
Para la distribución estable (lenny), este problema ha sido arreglado en la versión 4.2.5-1+lenny4.
Para la distribucion testing (Squeeze) en breve sera solucionado.
Para la distribución inestable (sid) ha sido arreglado en la versión 4.3.5-1.
Le recomendamos actualizar el paquete typo3-src
Original (en inglés): http://www.debian.org/security/2010/dsa-2098
Fecha del reporte: 29 de ago 2010
Paquetes afectados: phpmyadmin
Más información: Varias vulnerabilidades remotas han sido descubiertas en phpMyAdmin, una herramienta para administrar MySQL a través de la web. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:
- CVE-2010-3055: El script de configuración no comprueba adecuadamente su archivo de salida, que permite a atacantes remotos ejecutar código PHP arbitrario a través de una petición POST a mano. En Debian, la herramienta de configuración es protegida atraves de Apache, usando la autenticación básica HTTP de forma predeterminada.
- CVE-2010-3056: Se han descubierto que mediante cross scripting se permite a un atacante remoto inyectar secuencias de comandos web o HTML.
Para la distribución estable (lenny), este problema ha sido arreglado en la versión 2.11.8.1-5+lenny5.
Fecha del reporte: 24 de ago de 2010
Paquetes afectados: zope-ldapuserfolder
Más información: Jeremy James descubrió que en zope-ldapuserfolder, una extensión Zope usada para autentificar contra servidores LDAP, el código de autentificación no verifica la contraseña provista por el usuario emergency. Usuarios maliciosos que logren ingresar como el usuario emergency pueden usar esta fallar para ganar acceso administrativo a la instancia Zope especificando una contraseña arbitraria.
Para la distribución estable (lenny), este problema ha sido arreglado en la versión 2.9-1+lenny1.
El paquete ya no existe en la próxima distribución estable (squeeze) o en la distribución inestable.
Le recomendamos actualizar su paquete zope-ldapuserfolder.
Fecha del reporte: 23 de ago de 2010
Paquetes afectados: lvm2
Más información: Alasdair Kergon descubrió que el demonio gestor de volúmenes de clusters lógicos (clvmd) en lvm2, el gestor de volumenes de clusters lógicos de linux, no verifica las credenciales de clientes a través de una conexión socket lo que permite a usuarios locales causar una denegación de servicio.
Para la distribución estable (lenny), este problema ha sido arreglado en la versión 2.02.39-8
Para la distribución de pruebas (squeeze), y la distribución inestable (sid), este problema ha sido arreglado en la versión 2.02.66-3
Le recomendamos actualizar su paquete lvm2.
Fecha del reporte: 20 de ago de 2010
Paquetes afectados: linux-2.6
Más información: Múltiples vulnerabilidades han sido descubiertas en el núcleo Linux que pueden conducir a la denegación de servicio o escalamiento de privilegios. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:
Fecha del reporte: 19 de ago de 2010
Paquetes afectados: ghostscript
Más información: Dos problemas de seguridad han sido descubiertos en Ghostscript, el interprete PostScript/PDF GPL. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:
Fecha del reporte: 17 de ago de 2010
Paquetes afectados: smarty
Más información: Una regresión ha sido encontrada en la corrección aplicada en el DSA 1919-1 a smarty, que causó problemas de compilación en algunas plantillas especificas. Esta actualización corrige el problema. Para referencia se incluye el aviso original completo:
múltiples vulnerabilidades han sido descubiertas Smarty, un motor de planillas PHP. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:
