Debian Security Advisory
Debian Security Advisory
Hola
Como no hay una categoria especifica para ellos, y veo que los articulos van directamente a la portada, y no se si es conveniente/correcto que fueran ahi, los pongo aqui mismo. Creo una entrada por cada uno de ellos para que sea mas claro leerlos.
Un Saludo
DSA-3539-1 srtp -- actualización de seguridad
- Fecha del reporte:
- 02 de Abril 2016
- Paquete afectado:
- Vulnerable:
- Sí
- Referencia a la base de datos de seguridad:
- En Debian: .
En Mitre CVE: .
Más información:
-
Randell Jesup y el equipo Firefox descubrieron que srtp, la referencia de la implementación Cisco para el Protocolo de Transporte Seguro en Tiempo Real, siglas en ingles (SRTP), no manipula adecuadamente el número CSRC de la cabecera RTP y ni la longitud de la cabecera de extensión. Un atacante remoto puede usar esta vulnerabilidad para bloquear una aplicacion vinculada a libsrtp, dando lugar a una denegación de servicio.
Para la antigua distribución estable (wheezy), este problema ha sido corregido en la versión 1.4.4+20100615~dfsg-2+deb7u2.
-
Para la distribución estable (jessie), este problema ha sido corregido en la versión 1.4.5~20130609~dfsg-1.1+deb8u1.
Le recomendamos que actualice el paquete srtp .
Original (en inglés):
DSA-3540-1 lhasa -- actualización de seguridad
Marcin Noga descubrió que un desbordamiento de entero en Lhasa, un descompresor de archivos lzh, podría dar como resultado la ejecución de código arbitrario si se procesa un archivo malformado.
Para la antigua distribución estable (wheezy), este problema ha sido corregido en la versión 0.0.7-2+deb7u1.
Para la distribución estable (jessie), este problema ha sido corregido en la versión 0.2.0+git3fe46-1+deb8u1.
Para la distribución testing (stretch), este problema ha sido corregido en la versión 0.3.1-1.
Para la distribución inestable (sid), este problema ha sido corregido en la versión 0.3.1-1.
Le recomendamos que actualice el paquete lhasa .
Original (en inglés):
DSA-3541-1 roundcube -- actualización de seguridad
High-Tech Bridge Security Research Lab descubrió que Roundcube, un cliente webmail, contiene una vulnerabilidad de ruta transversal. Un atacante podría usar este fallo para acceder a ficheros sensibles del servidor o para ejecutar código arbitrario.
Para la antigua distribución estable (wheezy), este problema ha sido corregido en la versión 0.7.2-9+deb7u2.
Para las distribuciones testing (stretch) e inestable (sid), este problema ha sido corregido en la versión 1.1.4+dfsg.1-1.
Le recomendamos que actualice el paquete roundcube .
Original (en inglés):
DSA-3542-1 mercurial -- actualización de seguridad
En Mitre CVE: , , .
Varias vulnerabilidades han sido descubiertas en Mercurial, un sistema de control de versiones distribuido. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:
Blake Burkhart descubrió que Mercurial permite URLs para los subrepositorios de Git, algo que podría resultar en una ejecución de código arbitrario en el clon.
Blake Burkhart descubrío que Mercurial permite la ejecución de código arbitrario cuando convierte respositorios Git con nombres específicamente manipulados.
Se descubrió que Mercurial no realiza correctamente la comprobación de limites en su decodificador binario de deltas, algo que podría ser usado para la ejecución de código remoto mediante los comandos clone, push o pull.
Para la antigua distribución estable (wheezy), estos problemas han sido corregidos en la versión 2.2.2-4+deb7u2.
Para la distribución estable (jessie), estos problemas han sido corregidos en la versión 3.1.2-2+deb8u2.
Para la distribución inestable (sid), estos problemas han sido corregidos en la versión 3.7.3-1.
Le recomendamos que actualice el paquete mercurial .
Original (en inglés):
DSA-3543-1 oar -- actualización de seguridad
Emmanuel Thome descubrió que la falta de comprobación en el comando oarsh de OAR, un software usado para administrar las trabajos y recursos de los clusters HPC, podría provocar en una escalada de privilegios.
Para la antigua distribución estable (wheezy), este problema ha sido corregido en la versión 2.5.2-3+deb7u1.
Para la distribución estable (jessie), este problema ha sido corregido en la versión 2.5.4-2+deb8u1.
Para la distribución inestable (sid), este problema ha sido corregido en la versión 2.5.7-1.
Le recomendamos que actualice el paquete oar .
Original (en inglés):
DSA-3544-1 python-django -- actualización de seguridad
En Mitre CVE: , .
Varias vulnerabilidades fueron descubiertas en Django, un framework de alto-nivel para el desarrollo web con Python. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:
Mark Striemer descubrió que algunas redirecciones URL suministradas por usuarios contienen credenciales de autentificación básica que no son correctamente manipuladas, pudiendo permitir a un atacante remoto realizar una redirección malintencionada o un ataque de "cross-site scripting".
Sjoerd Job Postmus descubrió que Django permite la enumeración de usuario a través de la diferencia temporal en la contraseña hasher del factor de actualización del trabajo.
Para la antigua distribución estable (wheezy), este problema ha sido corregido en la versión 1.4.5-1+deb7u16.
Para la distribución estable (jessie), este problema ha sido corregido en la versión 1.7.7-1+deb8u4.
Para la distribución testing (stretch), este problema ha sido corregido en la versión 1.9.4-1.
Para la distribución inestable (sid), este problema ha sido corregido en la versión 1.9.4-1.
Le recomendamos que actualice el paquete python-django .
Original (en inglés):
DSA-3545-1 cgit -- actualización de seguridad
Fecha del reporte:
07 Apr 2016
En Mitre: , , .
Varias vulneabilidades han sido descubiertos en cgit, una ligera interfaz web para respositoris git escrito en C. Un atacante remoto podria tomar ventaja de estos fallos para realizar ataques cross-site scripting, inyección de encabezado o de denegación de servicio.
Para la distribución estable (jessie), este problema ha sido corregido en la versión 0.10.2.git2.0.1-3+deb8u1.
Para la distribución testing (stretch), este problema ha sido corregido en la versión 0.12.0.git2.7.0-1 or earlier.
Para la distribución inestable (sid), este problema ha sido corregido en la versión 0.12.0.git2.7.0-1 or earlier.
Le recomendamos que actualice el paquete cgit .
Original (en inglés):
DSA-3546-1 optipng -- actualización de seguridad
Hans Jerry Illikainen descubrió que la falta de comprobación de entrada en el código de procesamiento BMP en optipng, programa optimizador de imágenes en formato PNG, podría dar como resultado una denegación de servicio o en la ejecución de código arbitrario si se procesa un fichero malformado.
Para la distribución estable (jessie), este problema ha sido corregido en la versión 0.6.4-1+deb7u2. Esta actualización también corrige , que originalmente fue pensaba para un una actualización de S.O .
Para la distribución testing (stretch), este problema ha sido corregido en la versión 0.7.5-1+deb8u1.
Para la distribución inestable (sid), este problema pronto sera corregido.
Le recomendamos que actualice el paquete optipng .
Original (en inglés):