int(21)

Boletines de Vulnerabilidades


Desbordamiento de búfer en talkd de NetBSD

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Compromiso Root
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricant afectat UNIX
Software afectado NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3, 1.6

Descripción

Existe una vulnerabilidad de desbordamiento de búfer en el daemon talkd para NetBSD. Se ha reportado que talkd no comprueba los limites de los mensajes entrantes antes de copiar los datos al búfer destino.
Un atacante puede explotar esta vulnerabilidad para obtener mayores privilegios en un sistema vulnerable.
Como esta vulnerabilidad es debida a una condición de desbordamiento de búfer, podría ser posible la ejecución de código en el servidor, aunque esta posibilidad todavía no ha sido confirmada.

Solución



Actualización de software:

NetBSD 1.6
NetBSD 1.6 anterior a 03-10-2002 actualizar a versión posterior o coincidente con esa fecha.

NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3:
NetBSD 1.5 anterior a 20-09-2002 actualizar a versión posterior o coincidente con esa fecha.

Identificadores estándar

Propiedad Valor
CVE
BID

Recursos adicionales

BUGTRAQ:
http://marc.theaimsgroup.com/?l=netbsd-announce&m=103407720305295&w=2

Histórico de versiones

Versión Comentario Data
1.0 Aviso emitido 2003-10-10
Ministerio de Defensa
CNI
CCN
CCN-CERT