Desde "DSA-3539-1 srtp" hasta "DSA-3554-1 xen"

16 envíos / 0 nuevos
Último envío
#1 Mar, 05/04/2016 - 17:48
kamikaze
Imagen de kamikaze
Desconectado/a
colaborador
se unió: 04/03/16

Desde "DSA-3539-1 srtp" hasta "DSA-3554-1 xen"

Estado: 
[ACTIVO]

 

    Hola

 Como no hay una categoria especifica para ellos, y veo que los articulos van directamente a la portada, y no se si es conveniente/correcto que fueran ahi, los pongo aqui mismo. Creo una entrada por cada uno de ellos para que sea mas claro leerlos.

  Un Saludo

 

DSA-3539-1 srtp -- actualización de seguridad

Fecha del reporte:
  02 de Abril 2016
 
Paquete afectado:
  srtp
 
Vulnerable:
  Sí
 
Referencia a la base de datos de seguridad:
  En Debian: Bug 807698.
  En Mitre CVE: CVE-2015-6360.

Más información:

  Randell Jesup y el equipo Firefox descubrieron que srtp, la referencia de la implementación Cisco para el Protocolo de Transporte Seguro en Tiempo Real, siglas en ingles (SRTP), no manipula adecuadamente el número CSRC de la cabecera RTP y ni la longitud de la cabecera de extensión. Un atacante remoto puede usar esta vulnerabilidad para bloquear una aplicacion vinculada a libsrtp, dando lugar a una denegación de servicio.

  Para la antigua distribución estable (wheezy), este problema ha sido corregido en la versión 1.4.4+20100615~dfsg-2+deb7u2.

  Para la distribución estable (jessie), este problema ha sido corregido en la versión 1.4.5~20130609~dfsg-1.1+deb8u1.

  Le recomendamos que actualice el paquete srtp .

Original (en inglés): https://www.debian.org/security/2016/dsa-3539

Mar, 05/04/2016 - 18:02
kamikaze
Imagen de kamikaze
Desconectado/a
colaborador
se unió: 04/03/16

DSA-3540-1 lhasa -- actualización de seguridad

Fecha del reporte:
  03 de Abril 2016
 
Paquete afectado:
  lhasa
 
Vulnerable:
  Sí
 
Referencia a la base de datos de seguridad:
  En Mitre CVE: CVE-2016-2347.
 
Más información:

  Marcin Noga descubrió que un desbordamiento de entero en Lhasa, un descompresor de archivos lzh, podría dar como resultado la ejecución de código arbitrario si se procesa un archivo malformado.

  Para la antigua distribución estable (wheezy), este problema ha sido corregido en la versión  0.0.7-2+deb7u1.

  Para la distribución estable (jessie), este problema ha sido corregido en la versión 0.2.0+git3fe46-1+deb8u1.

  Para la distribución testing (stretch), este problema ha sido corregido en la versión 0.3.1-1.

  Para la distribución inestable (sid), este problema ha sido corregido en la versión 0.3.1-1.

  Le recomendamos que actualice el paquete lhasa .

Original (en inglés): https://www.debian.org/security/2016/dsa-3540
 

Mar, 05/04/2016 - 17:56
kamikaze
Imagen de kamikaze
Desconectado/a
colaborador
se unió: 04/03/16

DSA-3541-1 roundcube -- actualización de seguridad

Fecha del reporte:
  05 de Abril 2016
 
Paquete afectado:
  roundcube
 
Vulnerable:
  Sí
 
Referencia a la base de datos de seguridad:
  En Mitre CVE: CVE-2015-8770.
 
Más información:

  High-Tech Bridge Security Research Lab descubrió que Roundcube, un cliente webmail, contiene una vulnerabilidad de ruta transversal. Un atacante podría usar este fallo para acceder a ficheros sensibles del servidor o para ejecutar código arbitrario.

  Para la antigua distribución estable (wheezy), este problema ha sido corregido en la versión 0.7.2-9+deb7u2.

  Para las distribuciones testing (stretch) e inestable (sid), este problema ha sido corregido en la versión 1.1.4+dfsg.1-1.

  Le recomendamos que actualice el paquete roundcube .

Original (en inglés): https://www.debian.org/security/2016/dsa-3541
 

Mar, 05/04/2016 - 18:03
kamikaze
Imagen de kamikaze
Desconectado/a
colaborador
se unió: 04/03/16

DSA-3542-1 mercurial -- actualización de seguridad

Fecha del reporte:
  05 de Abril 2016
 
Paquete afectado:
  mercurial
 
Vulnerable:
  Sí
 
Referencia a la base de datos de seguridad:
  En Debian: Bug 819504.
  En Mitre CVE: CVE-2016-3068, CVE-2016-3069, CVE-2016-3630.
 
Más información:

  Varias vulnerabilidades han sido descubiertas en Mercurial, un sistema de control de versiones distribuido. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:

  • CVE-2016-3068

    Blake Burkhart descubrió que Mercurial permite URLs para los subrepositorios de Git, algo que podría resultar en una ejecución de código arbitrario en el clon.

  • CVE-2016-3069

    Blake Burkhart descubrío que Mercurial permite la ejecución de código arbitrario cuando convierte respositorios Git con nombres específicamente manipulados.

  • CVE-2016-3630
    Se descubrió que Mercurial no realiza correctamente la comprobación de limites en su decodificador binario de deltas, algo que podría ser usado para la ejecución de código remoto mediante los comandos clone, push o pull.

  Para la antigua distribución estable (wheezy), estos problemas han sido corregidos en la versión 2.2.2-4+deb7u2.

  Para la distribución estable (jessie), estos problemas han sido corregidos en la versión 3.1.2-2+deb8u2.

  Para la distribución inestable (sid), estos problemas han sido corregidos en la versión 3.7.3-1.

  Le recomendamos que actualice el paquete mercurial .

Original (en inglés): https://www.debian.org/security/2016/dsa-3542

Mié, 06/04/2016 - 15:33
kamikaze
Imagen de kamikaze
Desconectado/a
colaborador
se unió: 04/03/16

DSA-3543-1 oar -- actualización de seguridad

Fecha del reporte:
  05 Apr 2016
 
Paquete afectado:
  oar
 
Vulnerable:
  Sí
 
Referencia a la base de datos de seguridad:
  En Mitre CVE: CVE-2016-1235.
 
Más información:

  Emmanuel Thome descubrió que la falta de comprobación en el comando oarsh de OAR, un software usado para administrar las trabajos y recursos de los clusters HPC, podría provocar en una escalada de privilegios.

  Para la antigua distribución estable (wheezy), este problema ha sido corregido en la versión 2.5.2-3+deb7u1.

  Para la distribución estable (jessie), este problema ha sido corregido en la versión 2.5.4-2+deb8u1.

  Para la distribución inestable (sid), este problema ha sido corregido en la versión 2.5.7-1.

  Le recomendamos que actualice el paquete oar .

Original (en inglés): https://www.debian.org/security/2016/dsa-3543

Jue, 07/04/2016 - 18:41
kamikaze
Imagen de kamikaze
Desconectado/a
colaborador
se unió: 04/03/16

DSA-3544-1 python-django -- actualización de seguridad

Fecha del reporte:
  07 de Abril 2016
 
Paquete afectado:
  python-django
 
Vulnerable:
  Sí
 
Referencia a la base de datos de seguridad:
  En Debian: Bug 816434.
  En Mitre CVE: CVE-2016-2512, CVE-2016-2513.
 
Más información:

  Varias vulnerabilidades fueron descubiertas en Django, un framework de alto-nivel para el desarrollo web con Python. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:

  • CVE-2016-2512
    Mark Striemer descubrió que algunas redirecciones URL suministradas por usuarios contienen credenciales de autentificación básica que no son correctamente manipuladas, pudiendo permitir a un atacante remoto realizar una redirección malintencionada o un ataque de "cross-site scripting".
  • CVE-2016-2513
    Sjoerd Job Postmus descubrió que Django permite la enumeración de usuario a través de la diferencia temporal en la contraseña hasher del factor de actualización del trabajo.

Para la antigua distribución estable (wheezy), este problema ha sido corregido en la versión  1.4.5-1+deb7u16.

Para la distribución estable (jessie), este problema ha sido corregido en la versión 1.7.7-1+deb8u4.

Para la distribución testing (stretch), este problema ha sido corregido en la versión 1.9.4-1.

Para la distribución inestable (sid), este problema ha sido corregido en la versión 1.9.4-1.

Le recomendamos que actualice el paquete python-django .

Original (en inglés): https://www.debian.org/security/2016/dsa-3544

Jue, 07/04/2016 - 19:00
kamikaze
Imagen de kamikaze
Desconectado/a
colaborador
se unió: 04/03/16

DSA-3545-1 cgit -- actualización de seguridad

Fecha del reporte:
  07 Apr 2016

Paquete afectado:
  cgit
 
Vulnerable:
  Sí
 
Referencia a la base de datos de seguridad:
  En Debian: Bug 812411.
  En Mitre: CVE-2016-1899, CVE-2016-1900, CVE-2016-1901.
 
Más información:

  Varias vulneabilidades han sido descubiertos en cgit, una ligera interfaz web para respositoris git escrito en C. Un atacante remoto podria tomar ventaja de estos fallos para realizar ataques cross-site scripting, inyección de encabezado o de denegación de servicio.

  Para la distribución estable (jessie), este problema ha sido corregido en la versión 0.10.2.git2.0.1-3+deb8u1.

  Para la distribución testing (stretch), este problema ha sido corregido en la versión 0.12.0.git2.7.0-1 or earlier.

  Para la distribución inestable (sid), este problema ha sido corregido en la versión 0.12.0.git2.7.0-1 or earlier.

  Le recomendamos que actualice el paquete cgit .

Original (en inglés): https://www.debian.org/security/2016/dsa-3545

Dom, 10/04/2016 - 16:10
kamikaze
Imagen de kamikaze
Desconectado/a
colaborador
se unió: 04/03/16

DSA-3546-1 optipng -- actualización de seguridad

Fecha del reporte:
  07 de Abril 2016
 
Paquete afectado:
  optipng
 
Vulnerable:
  Yes
 
Referencia a la base de datos de seguridad:
  En Mitre: CVE-2016-2191, CVE-2016-3981, CVE-2016-3982.
 
Más información:

  Hans Jerry Illikainen descubrió que la falta de comprobación de entrada en el código de procesamiento BMP en optipng, programa optimizador de imágenes en formato PNG, podría dar como resultado una denegación de servicio o en la ejecución de código arbitrario si se procesa un fichero malformado.

  Para la distribución estable (jessie), este problema ha sido corregido en la versión 0.6.4-1+deb7u2. Esta actualización también corrige CVE-2015-7801, que originalmente fue pensaba para un una actualización de S.O .

  Para la distribución testing (stretch), este problema ha sido corregido en la versión 0.7.5-1+deb8u1.

  Para la distribución inestable (sid), este problema pronto sera corregido.

  Le recomendamos que actualice el paquete optipng .

Original (en inglés): https://www.debian.org/security/2016/dsa-3546

Lun, 18/04/2016 - 16:02
moonwatcher
Imagen de moonwatcher
Desconectado/a
moderador
se unió: 21/01/16

DSA-3547-1 ImageMagick - actualización de seguridad

Fecha del informe:

11 Abr el año 2016

Paquetes afectados:

ImageMagick

Vulnerable:

Referencias de bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: Bug 811308 .

Más información:

Múltiples vulnerabilidades fueron descubiertas en Imagemagick, un conjunto de programas para la manipulación de imágenes. Esta actualización corrige un gran número de problemas de seguridad potenciales, tales como el acceso null-puntero y búfer-desbordamientos que podrían conducir a pérdidas de memoria o la denegación de servicio. Ninguno de estos problemas de seguridad tiene un número CVE asignado.

Para la antigua distribución estable (Wheezy), este problema se ha corregido en la versión 8: 6.7.7.10-5 + deb7u4.

Para la distribución estable (Jessie), este problema ya se ha solucionado en la versión 8: 6.8.9.9-5 + deb8u1, en el último punto de desenganche.

Le recomendamos que actualice el paquete ImageMagick.

Original en ingles:https://www.debian.org/security/2016/dsa-3547

We were but stones. Your light made us stars

https://linuxveredas.blogspot.com.es/

Lun, 18/04/2016 - 16:12
moonwatcher
Imagen de moonwatcher
Desconectado/a
moderador
se unió: 21/01/16

DSA-3549-1 de chromium-browser - actualización de seguridad

Fecha del informe:

15 de Abr el año 2016

Paquetes afectados:

chromium-browser

Vulnerable:

Referencias de bases de datos de seguridad:

En CVE de Mitre dictionary: CVE-2016-1651 , CVE-2016-1652 , CVE-2016-1653 , CVE-2016-1654 , CVE-2016-1655 , CVE-2016-1657 , CVE-2016-1658 , CVE-2016-1659 .

Más información:

Múltiples vulnerabilidades han sido descubiertas en el navegador web de chromium.

CVE-2016-1651

Una cuestión sale fuera de la lectura fue descubierto en la biblioteca pdfium.

CVE-2016-1652

Un problema de cross-site scripting fue descubierto en los enlaces de extensión.

CVE-2016-1653

Choongwoo Han descubierto un problema de escritura fuera de los límites en el v8 librería javascript.

CVE-2016-1654

Atte Kettunen descubrió una memoria sin inicializar condición de leer.

CVE-2016-1655

Rob Wu descubrió una cuestión de usar después de liberación en relación con las extensiones.

CVE-2016-1657

Luan Herrera descubrió una manera de falsificar las direcciones URL.

CVE-2016-1658

Antonio Sanso descubrió una fuga de información relacionada con las extensiones.

CVE-2016-1659

El equipo de desarrollo de chromium encontró y fijó varios problemas durante la auditoría interna.

Para la distribución estable (Jessie), estos problemas se han corregido en la versión 50.0.2661.75-1 ~ deb8u1.

Para la distribución de pruebas (stretch), estos problemas serán arreglados a la brevedad.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 50.0.2661.75-1.

Le recomendamos que actualice los paquetes de Chromium en el navegador.

Original en ingles: https://www.debian.org/security/2016/dsa-3549

We were but stones. Your light made us stars

https://linuxveredas.blogspot.com.es/

Lun, 18/04/2016 - 16:16
moonwatcher
Imagen de moonwatcher
Desconectado/a
moderador
se unió: 21/01/16

DSA-3550-1 openssh - actualización de seguridad

Fecha del informe:

15 de Abr el año 2016

Paquetes afectados:

openssh

Vulnerable:

Referencias de bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2.015-8.325 .

Más información:

Shayan Sadigh descubrió una vulnerabilidad en OpenSSH: Si el soporte PAM está habilitado y la configuración de PAM sshd está configurado para leer variables de entorno userspecified y la opción UseLogin está habilitada, un usuario local puede escalar sus privilegios de raíz.

En Debian UseLogin no está activado por defecto.

Para la antigua distribución estable (Wheezy), este problema se ha corregido en la versión 6.0p1-4 + deb7u4.

Para la distribución estable (Jessie), este problema se ha corregido en la versión 6.7p1-5 + deb8u2.

Para la distribución inestable (sid), este problema se ha corregido en la versión 1: 7.2p2-3.

Le recomendamos que actualice los paquetes de OpenSSH.

Original en ingles: https://www.debian.org/security/2016/dsa-3550

We were but stones. Your light made us stars

https://linuxveredas.blogspot.com.es/

Lun, 18/04/2016 - 16:21
moonwatcher
Imagen de moonwatcher
Desconectado/a
moderador
se unió: 21/01/16

DSA-3551-1 fuseiso - actualización de seguridad

Fecha del informe:

16 de Abril el año 2016

Paquetes afectados:

fuseiso

Vulnerable:

Referencias de bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: Bug 779047 .
En el diccionario CVE de Mitre: CVE-2015-8836 , CVE-2.015-8837 .

Más información:

Se descubrió que fuseiso, una aplicación de espacio de usuario del sistema de archivos ISO 9660 basado en FUSE, contiene varias vulnerabilidades.

CVE-2015-8836

Un desbordamiento de búfer basado en pila puede permitir a los atacantes que pueden engañar a un usuario para montar un sistema de archivos ISO 9660 diseñado para provocar una denegación de servicio (caída) o, potencialmente, ejecutar código arbitrario.

CVE-2015-8837

Un desbordamiento de entero conduce a un desbordamiento de búfer basado en heap, que permite a un atacante (que puede engañar a un usuario para que el montaje de un sistema de archivos ISO 9660 hecho a mano) para causar una denegación de servicio (caída) o, potencialmente, ejecutar código arbitrario.

Para la antigua distribución estable (Wheezy), estos problemas se han corregido en la versión 20070708-3 + deb7u1.

La distribución estable (Jessie) no contiene fuseiso paquetes.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 20.070.708-3,2.

Le recomendamos que actualice los paquetes de fuseiso.

Original en ingles: https://www.debian.org/security/2016/dsa-3551

We were but stones. Your light made us stars

https://linuxveredas.blogspot.com.es/

Lun, 18/04/2016 - 16:26
moonwatcher
Imagen de moonwatcher
Desconectado/a
moderador
se unió: 21/01/16

DSA-3552-1 tomcat7 - actualización de seguridad

Fecha del informe:

17 de Abril el año 2016

Paquetes afectados:

tomcat7

Vulnerable:

Referencias de bases de datos de seguridad:

En CVE de Mitre dictionary: CVE-2015-5174 , CVE-2015-5345 , CVE-2015-5346 , CVE-2015-5351 , CVE-2016-0706 , CVE-2016-0714 , CVE-2016-0763 .

Más información:

Múltiples vulnerabilidades de seguridad descubiertas en el servlet Tomcat y motor JSP, lo que puede resultar en la divulgación de información, la circunvalación de protecciones CSRF y de derivación de la SecurityManager.

Para la antigua distribución estable (Wheezy), estos problemas se han corregido en la versión 7.0.28-4 + deb7u4. Esta actualización también corrige CVE-2014-0119 y CVE-2014-0096 .

Para la distribución estable (Jessie), estos problemas se han corregido en la versión 7.0.56-3 + deb8u2.

Para la distribución de pruebas (Stretch), estos problemas se han corregido en la versión 7.0.68-1.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 7.0.68-1.

Le recomendamos que actualice los paquetes de tomcat7.

Original en ingles: https://www.debian.org/security/2016/dsa-3552

We were but stones. Your light made us stars

https://linuxveredas.blogspot.com.es/

Vie, 22/04/2016 - 18:46
kamikaze
Imagen de kamikaze
Desconectado/a
colaborador
se unió: 04/03/16

DSA-3553-1 varnish -- actualización de seguridad

Fecha del reporte:
 22 de Abril 2016
 
Paquete afectado:
 varnish
 
Vulnerable:
 Sí
 
Referencia a la base de datos de seguridad:
 En Debian: Bug 783510.
 En Mitre: CVE-2015-8852.
 
Más información:

 Régis Leroy de Makina Corpus, descubrió que varnish, un proxy inverso de caché HTTP, es vulnerable a problemas de "smuggling",lo que podría resultar en envenenamiento de caché o en la derivación de las políticas de control de acceso.

 Para la antigua distribución estable (wheezy), este problema ha sido corregido en la versión 3.0.2-2+deb7u2.
 
 Le recomendamos que actualice el paquete varnish.
 
Original (en inglés): https://www.debian.org/security/2016/dsa-3553
Vie, 22/04/2016 - 18:45
kamikaze
Imagen de kamikaze
Desconectado/a
colaborador
se unió: 04/03/16

DSA-3554-1 xen -- actualización de seguridad

 
Fecha del reporte:
 21 de Abril 2016
 
Paquete afectado:
 xen
 
Vulnerable:
 Sí
 
Referencia a la base de datos de seguridad:
 En Mitre: CVE-2016-3158, CVE-2016-3159, CVE-2016-3960.
 
Más información:

 Varias vulnerabilidades han sido descubiertas en el hypervisor Xen.  El proyecto "Common Vulnerabilities and Exposures" identifica los siguientes problemas:

  • CVE-2016-3158, CVE-2016-3159 (XSA-172)

    Jan Beulich de SUSE, descubrió que Xen no manipula adecuadamente las escrituras en el bit de hardware FSW.ES cuando se ejecuta en procesadores AMD64.  Un dominio malintencionado puede tomar ventaja de este fallo para conseguir el uso del espacio y la informacion de tiempo, alrededor de otro dominio, a una tasa bastante baja.

 
  • CVE-2016-3960 (XSA-173)

    Ling Liu y Yihan Lian de "Cloud Security Team", Qihoo 360 descubrieron un desbordamiento de enteros en el "shadow pagetable code" del x86. Un invitado HVM usando la "shadow pagetables" podria causar un fallo en el servidor Xen (host). Un invitado PV usando "shadow pagetables" (es decir, en una migración) con la "PV superpages" activada (algo que no esta por defecto) podría dar un fallo del servidor Xen (host), o  una corrupción de memoria del hypervisory, provocando una escalada de privilegios.

  Para la distribución estable (jessie), este problema ha sido corregido en la versión  4.4.1-9+deb8u5.

  Le recomendamos que actualice el paquete xen .

 Original (en inglés): https://www.debian.org/security/2016/dsa-3554

Dom, 24/04/2016 - 07:55
moonwatcher
Imagen de moonwatcher
Desconectado/a
moderador
se unió: 21/01/16

DSA-3553-1 Varnish - actualización de seguridad

Fecha del informe:

22 de Abril el año 2016

Paquetes afectados:

Varnish

Vulnerable:

Referencias de bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: Bug 783510 .
En el diccionario CVE de Mitre: CVE-2.015-8852 .

Más información:

Régis Leroy Makina del Corpus descubrió que en Varnish, el almacenamiento en caché de un proxy inverso HTTP, HTTP es vulnerable a problemas de contrabando, lo que podría provocar el envenenamiento de caché o una derivación de las políticas de control de acceso.

Para la antigua distribución estable (Wheezy), este problema se ha corregido en la versión 3.0.2-2 + deb7u2.

Le recomendamos que actualice los paquetes de Varnish.

Original en ingles: https://www.debian.org/security/2016/dsa-3553

We were but stones. Your light made us stars

https://linuxveredas.blogspot.com.es/