Nueva actualización de Openssl
Hace unos días se corrigieron unos defectos del paquete OpenSSl. Sin embargo, parece ser que introdujeron un código que podría llevar al uso de la memoria sin inicializar. Esto podría causar que la aplicación que estiviera usando la librería Openssl se colgara y se podría llegar a ejecutar un código arbitrario.
Así que nada, otra vez que hay que actualizar los paquetes libssl0.9.7 y openssl. Esta vez a la versión 0.9.7e-3sarge4.
Enviado por tazok el 5 Octubre, 2006 - 05:14.
Hmm... es un bug bastante grave, ya no porque exponga a todos los demonios que utilicen openssl sino porque al ser un heap overflow se saltaría casi todas las protecciones de stack (stackguard por ejemplo, salvo PaX si se hace la heap no ejecutable).
Todavía existe demasiada gente que no utiliza PaX en sus servidores y los exploits "día-0" pueden existir... la gente debería empezar a extender su uso.
---
"Don't accept that what's happening;
Is just a case of others' suffering;
Or you'll find that you're joining in
-Pink Floyd- On the turning away.
