blob: 926b050b37cb7c6e33719daa354b006b1453a814 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
|
#use wml::debian::translation-check translation="9935cd8456950748eabb78a1723066b91eff94c3"
<define-tag moreinfo>Lez descubrió un problema de cadena de formato en
stunnel (una herramienta para crear un túnel SSL universal para otros demonios
de red). Brian Hatch respondió que ya había preparado una nueva versión con
múltiples reparaciones de seguridad:
<ol>
<li>El PRNG (generado seudoaleatoriamente) no tenía una semilla correcta. Esto
sólo afecta al funcionamiento en sistemas operativos con un generador de
números aleatorios seguro (como Linux).
<li>Los archivospid no se creaban de forma segura, haciendo a stunnel
vulnerable a ataques de enlace simbólico.
<li>Había una llamada insegura a syslog() que podía ser explotada si el
usuario podía gestionar la inserción de texto en el texto archivado. Al menos
había una manera de explotar esto utilizando las respuestas de identd de faked
como demostró Lez.
</ol>
<p>Estos problemas han sido arreglados en la versión 3.10-0potato1.</define-tag>
<define-tag description>gestión de archivos insegura, error en la cadena de
formato</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20001225a.data'
|
