¿Sabéis algo de esto? Me extraña que no hayan actualizaciones en Debian, si ya hay parche... -------- Mensaje original --------
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ------------------------------------------------------------------- Hispasec - una-al-día 27/05/2013 Todos los días una noticia de seguridad www.hispasec.com Síguenos en Twitter: http://twitter.com/unaaldia Noticia en formato HTML: http://www.hispasec.com/unaaldia/5329 ------------------------------------------------------------------- Actualización de seguridad para X Window corrige 29 vulnerabilidades -------------------------------------------------------------------- Ilja van Sprundel, un investigador de seguridad de IOActive ha descubierto varios problemas de seguridad en las librerías del cliente X de X Window, un total de 29 vulnerabilidades en 22 librerías. X Window es un software que se utiliza para dotar de una interfaz gráfica a los sistemas Unix. X Window contiene una parte servidor (X Server) encargada de acceder a los recursos de hardware (pantalla, teclado, etc..) y una parte de cliente (X client) que se encarga de interactuar con el usuario. Los errores son producidos por una "confianza" de los valores que deben de ser retornados por el servidor en la comunicación entre el cliente y servidor X. Se han visto afectadas 22 librerías (de tres proyectos diferentes) que son las siguientes: libX11, libXcursor, libXext, libXfixes, libXi, libXinerama, libXp, libXrandr, libXrender, libXRes, libXtst, libXv, libXvMC, libXxf86dga, libXxf86vm, libdmx, libxcb, libFS, libXt del proyecto X.Org, las librerías libchromeXvMC y libchromeXvMCPro del proyecto openChrome y la librería libGLX del proyecto Mesa. Las vulnerabilidades han sido identificadas desde el CVE-2013-1981 hasta el CVE-2013-2005 y desde el CVE-2013-2062 hasta CVE-2013-2066. Algunos detalles de las vulnerabilidades son: * 17 desbordamientos de entero causados por un error al calcular la memoria necesaria para almacenar el valor retornado por una función. Afecta a total de 17 librerías, todas exceptuando las librerías 'libXcursor', 'libXxf86vm', 'libFS', 'libXt', 'libXt', afectando a un total de 54 funciones. * Un error de signo causado por un fallo al calcular la memoria necesaria para almacenar el valor retornado por una función. Se ven afectadas las librerías 'libXi' y 'libFS' en una función cada librería. * 7 desbordamientos de memoria intermedia causados por una falta de validación de la cantidad de memoria necesaria para almacenar el valor retornado por una función. Afecta a la librerías 'libX11', 'libXi', 'libXv', 'libXvMC', 'libXxf86dga', 'libXxf86vm' y 'libXt' afectando a un total de 24 funciones. * Dos desbordamiento de enteros causados por una falta de comprobación de la cantidad de memoria necesaria para procesar los ficheros especificados por un usuario. Afecta a las librerías 'libX11' y 'libXcursor' en 6 funciones. * Un error por una falta de límites en la recursión en el procesamiento de los ficheros especificados por un usuario. Afecta a la librería 'libX11' en dos funciones. * Una corrupción de memoria causada por una falta de validación de la cantidad de memoria necesaria para almacenar el valor retornado por una función. Afecta a la librería 'libXt' en un total de cinco funciones. Las vulnerabilidades ya han sido corregidas en las librerías correspondientes y pueden ser descargadas desde los repositorios oficiales. Opina sobre esta noticia: http://unaaldia.hispasec.com/2013/05/actualizacion-de-seguridad-para-x.html#comments Más información: X.Org Security Advisory: May 23, 2013 http://www.x.org/wiki/Development/Security/Advisory-2013-05-23 Openchrome http://www.freedesktop.org/wiki/Openchrome/ The Mesa 3D Graphics Library http://www.mesa3d.org/ Jose Ignacio Palacios Ortega jipalacios@hispasec.com Tal día como hoy: ----------------- 27/05/2012: Nueva versión de Google Chrome corrige varias vulnerabilidades http://www.hispasec.com/unaaldia/4964 27/05/2011: Consiguen romper CAPTCHAS de audio con un 89% de tasa de acierto http://www.hispasec.com/unaaldia/4598 27/05/2010: Actualización para el navegador Google Chrome http://www.hispasec.com/unaaldia/4233 27/05/2009: De nuevo PDF, el enemigo de BlackBerry http://www.hispasec.com/unaaldia/3868 27/05/2008: Virus y promiscuidad. Del disquete al USB http://www.hispasec.com/unaaldia/3503 27/05/2007: Denegación de servicio a través de cliente NFS en Sun Solaris 8, 9 y 10 http://www.hispasec.com/unaaldia/3137 27/05/2006: Actualización del kernel de Red Hat Enterprise Linux 4 http://www.hispasec.com/unaaldia/2772 27/05/2005: Alarmante crecimiento de máquinas zombie y botnets http://www.hispasec.com/unaaldia/2407 27/05/2004: Continúan los intentos de estafa contra bancos españoles http://www.hispasec.com/unaaldia/2041 27/05/2003: Obtención de privilegios especiales en Linux http://www.hispasec.com/unaaldia/1675 27/05/2002: La biometría en entredicho: falsificación de huellas dactilares http://www.hispasec.com/unaaldia/1310 27/05/2001: Vulnerabilidad BGP en routers Cisco http://www.hispasec.com/unaaldia/945 27/05/2000: W97M.RESUME, un curriculum vitae muy peligroso http://www.hispasec.com/unaaldia/578 27/05/1999: Problemas en Microsoft Site Server http://www.hispasec.com/unaaldia/212 ------------------------------------------------------------------- Claves PGP en http://www.hispasec.com/directorio/hispasec ------------------------------------------------------------------- Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe ------------------------------------------------------------------- (c) 2013 Hispasec http://www.hispasec.com/copyright ------------------------------------------------------------------- -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (MingW32) iQEcBAEBAgAGBQJRpM+qAAoJEI/UizGiFA4P/i8IALfFz8Jlf39ClUD0qlaTkxU9 zQQ21NIJ+ocJetCrjFKFcC181FE3mQ60SLljw+ZwqhcoxQhybCKvK3bo//yvmeet fszA7lW+bEkyi6jdxz7Wv5X6R4qUJgOeyAr48XkTiYbTbnnATW/EnUt8DyzC3yEw gxYZ//qLzAKgt01NxgRdoaak7chGKiV18ZJXJOdYHEUAAi+iDShccmVQc8jdKzhD rC8zq1bLwgC6VbNEqSJvrzloFJlvi4iFc1Ifa0hvh4Ap4mAPuDmncAz/LcVnAxEB pUuzD5QFEcSGgSkxlgSi/eUjvDMK11VNTFWLYa52JlG1k8c3l8iXDDtv4dqv5bA= =PPS8 -----END PGP SIGNATURE----- |