[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Fwd: una-al-dia (27/05/2013) Actualización de seguridad para X Window corrige 29 vulnerabilidades

¿Sabéis algo de esto?
Me extraña que no hayan actualizaciones en Debian, si ya hay parche...


-------- Mensaje original --------
Asunto: una-al-dia (27/05/2013) Actualización de seguridad para X Window corrige 29 vulnerabilidades
Fecha: Tue, 28 May 2013 18:28:12 +0200
De: noticias@hispasec.com
Responder a: noticias@hispasec.com
Para: unaaldia@uad.hispasec.com 


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 -------------------------------------------------------------------
  Hispasec - una-al-día                                  27/05/2013
  Todos los días una noticia de seguridad          www.hispasec.com
  Síguenos en Twitter: http://twitter.com/unaaldia
  Noticia en formato HTML: http://www.hispasec.com/unaaldia/5329
 -------------------------------------------------------------------
 
 Actualización de seguridad para X Window corrige 29 vulnerabilidades
 --------------------------------------------------------------------

Ilja van Sprundel, un investigador de seguridad de IOActive ha 
descubierto varios problemas de seguridad en las librerías del 
cliente X de X Window, un total de 29 vulnerabilidades en 22 
librerías. 

X Window es un software que se utiliza para dotar de una interfaz 
gráfica a los sistemas Unix. X Window contiene una parte servidor (X 
Server) encargada de acceder a los recursos de hardware (pantalla, 
teclado, etc..) y una parte de cliente (X client) que se encarga de 
interactuar con el usuario. 

Los errores son producidos por una "confianza" de los valores que deben 
de ser retornados por el servidor en la comunicación entre el cliente y 
servidor X. Se han visto afectadas 22 librerías (de tres proyectos 
diferentes) que son las siguientes: libX11, libXcursor, libXext, 
libXfixes, libXi, libXinerama, libXp, libXrandr, libXrender, libXRes, 
libXtst, libXv, libXvMC, libXxf86dga, libXxf86vm, libdmx, libxcb, libFS, 
libXt del proyecto X.Org, las librerías libchromeXvMC y libchromeXvMCPro 
del proyecto openChrome y la librería libGLX del proyecto Mesa. 

Las vulnerabilidades han sido identificadas desde el CVE-2013-1981 hasta 
el CVE-2013-2005 y desde el CVE-2013-2062 hasta CVE-2013-2066. Algunos 
detalles de las vulnerabilidades son: 

* 17 desbordamientos de entero causados por un error al calcular la 
memoria necesaria para almacenar el valor retornado por una función. 
Afecta a total de 17 librerías, todas exceptuando las librerías 
'libXcursor', 'libXxf86vm', 'libFS', 'libXt', 'libXt', afectando a un 
total de 54 funciones. 

* Un error de signo causado por un fallo al calcular la memoria 
necesaria para almacenar el valor retornado por una función. Se ven 
afectadas las librerías 'libXi' y 'libFS' en una función cada librería. 

* 7 desbordamientos de memoria intermedia causados por una falta de 
validación de la cantidad de memoria necesaria para almacenar el valor 
retornado por una función. Afecta a la librerías 'libX11', 'libXi', 
'libXv', 'libXvMC', 'libXxf86dga', 'libXxf86vm' y 'libXt' afectando a un 
total de 24 funciones. 

* Dos desbordamiento de enteros causados por una falta de comprobación 
de la cantidad de memoria necesaria para procesar los ficheros 
especificados por un usuario. Afecta a las librerías 'libX11' y 
'libXcursor' en 6 funciones. 

* Un error por una falta de límites en la recursión en el procesamiento 
de los ficheros especificados por un usuario. Afecta a la librería 
'libX11' en dos funciones. 

* Una corrupción de memoria causada por una falta de validación de la 
cantidad de memoria necesaria para almacenar el valor retornado por una 
función. Afecta a la librería 'libXt' en un total de cinco funciones. 

Las vulnerabilidades ya han sido corregidas en las librerías 
correspondientes y pueden ser descargadas desde los repositorios 
oficiales. 

Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/05/actualizacion-de-seguridad-para-x.html#comments

Más información:

X.Org Security Advisory: May 23, 2013
http://www.x.org/wiki/Development/Security/Advisory-2013-05-23

Openchrome
http://www.freedesktop.org/wiki/Openchrome/

The Mesa 3D Graphics Library
http://www.mesa3d.org/


Jose Ignacio Palacios Ortega
jipalacios@hispasec.com


 Tal día como hoy:
 -----------------

27/05/2012: Nueva versión de Google Chrome corrige varias vulnerabilidades
    http://www.hispasec.com/unaaldia/4964

27/05/2011: Consiguen romper CAPTCHAS de audio con un 89% de tasa de acierto
    http://www.hispasec.com/unaaldia/4598

27/05/2010: Actualización para el navegador Google Chrome
    http://www.hispasec.com/unaaldia/4233

27/05/2009: De nuevo PDF, el enemigo de BlackBerry
    http://www.hispasec.com/unaaldia/3868

27/05/2008: Virus y promiscuidad. Del disquete al USB
    http://www.hispasec.com/unaaldia/3503

27/05/2007: Denegación de servicio a través de cliente NFS en Sun Solaris 8, 9 y 10
    http://www.hispasec.com/unaaldia/3137

27/05/2006: Actualización del kernel de Red Hat Enterprise Linux 4
    http://www.hispasec.com/unaaldia/2772

27/05/2005: Alarmante crecimiento de máquinas zombie y botnets
    http://www.hispasec.com/unaaldia/2407

27/05/2004: Continúan los intentos de estafa contra bancos españoles
    http://www.hispasec.com/unaaldia/2041

27/05/2003: Obtención de privilegios especiales en Linux
    http://www.hispasec.com/unaaldia/1675

27/05/2002: La biometría en entredicho: falsificación de huellas dactilares
    http://www.hispasec.com/unaaldia/1310

27/05/2001: Vulnerabilidad BGP en routers Cisco
    http://www.hispasec.com/unaaldia/945

27/05/2000: W97M.RESUME, un curriculum vitae muy peligroso
    http://www.hispasec.com/unaaldia/578

27/05/1999: Problemas en Microsoft Site Server
    http://www.hispasec.com/unaaldia/212


 -------------------------------------------------------------------
  Claves PGP en http://www.hispasec.com/directorio/hispasec
 -------------------------------------------------------------------
  Bajas:   mailto:unaaldia-request@hispasec.com?subject=unsubscribe 
  Altas:   mailto:unaaldia-request@hispasec.com?subject=subscribe
 -------------------------------------------------------------------
  (c) 2013 Hispasec               http://www.hispasec.com/copyright
 -------------------------------------------------------------------

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (MingW32)

iQEcBAEBAgAGBQJRpM+qAAoJEI/UizGiFA4P/i8IALfFz8Jlf39ClUD0qlaTkxU9
zQQ21NIJ+ocJetCrjFKFcC181FE3mQ60SLljw+ZwqhcoxQhybCKvK3bo//yvmeet
fszA7lW+bEkyi6jdxz7Wv5X6R4qUJgOeyAr48XkTiYbTbnnATW/EnUt8DyzC3yEw
gxYZ//qLzAKgt01NxgRdoaak7chGKiV18ZJXJOdYHEUAAi+iDShccmVQc8jdKzhD
rC8zq1bLwgC6VbNEqSJvrzloFJlvi4iFc1Ifa0hvh4Ap4mAPuDmncAz/LcVnAxEB
pUuzD5QFEcSGgSkxlgSi/eUjvDMK11VNTFWLYa52JlG1k8c3l8iXDDtv4dqv5bA=
=PPS8
-----END PGP SIGNATURE-----


Reply to: