blob: b748e7504658a2a8befbd3153ea59b18176ebb8f (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
|
#use wml::debian::translation-check translation="421f2075349590201c403c21bf545e4577937a94"
<define-tag description>desbordamiento de búfer</define-tag>
<define-tag moreinfo>
<p>Se ha descubierto una vulnerabilidad en NANOG traceroute, una versión
mejorada del programa traceroute para BSD de Van Jacobson. Existía un
desbordamiento de búfer en la función «get_origin()». Debido a que no se
realizaban suficientes comprobaciones en el analizador de whois, era
posible que se corrompiera la memoria de la pila del sistema. Esta
vulnerabilidad la podía explotar un atacante remoto para obtener
privilegios de root en la máquina destino. Por tanto, probablemente no en
Debian.</p>
<p>El proyecto Common Vulnerabilities and Exposures (CVE), Exposiciones y
Vulnerabilidades Comunes, identificó las siguientes versiones que ya
estaban arregladas en la versión estable de Debian (woody), y en la versión
estable anterior (potato) y se citan aquí para contrastar (y porque otras
distribuciones mostrarán un aviso por separado para ello):</p>
<ul>
<li> CAN-2002-1364 (BugTraq ID 6166) habla sobre un desboramiento de búfer
en la función get_origin, que permitía a los atacantes ejecutar código
arbitrario vía respuestas largas a WHOIS.</li>
<li> CAN-2002-1051 (BugTraq ID 4956) habla sobre una vulnerabilidad de
cadena de formato que permitía a los usuarios locales ejecutar código
arbitrario vía el argumento de la línea de comando -T (terminador).</li>
<li> CAN-2002-1386 trata sobre un desbordamiento de búfer que podía
permitir a los usuarios locales ejecutar código arbitrario vía un
argumento de nombre de máquina larga.</li>
<li> CAN-2002-1387 trata sobre el modo spray que podía permitir a los
usuarios locales sobreescribir ubicaciones de memoria arbitraria.</li>
</ul>
<p>Afortunadamente, el paquete de Debian libera los privilegios pronto,
tras el inicio, por lo que estos problemas no suelen ser explotables en una
máquina Debian.</p>
<p>Para la distribución estable actual (woody), el problema de arriba se
ha corregido en la versión 6.1.1-1.2.</p>
<p>Para la distribución estable anterior (potato), el problema de arriba se
ha corregido en la versión 6.0-2.2.</p>
<p>Para la distribución inestable (sid), estos problemas se han corregido
en la versión 6.3.0-1.</p>
<p>Le recomendamos que actualice el paquete traceroute-nanog.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-254.data"
|
