Boletines de Vulnerabilidades |
Múltiples denegaciones de servicio en NetBSD |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Denegación de Servicio |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricant afectat | GNU/Linux |
Software afectado |
NetBSD 3.0.1 NetBSD 3.0 NetBSD 2.1 NetBSD 2.0.* NetBSD 2.0 |
Descripción |
|
Se han descubierto múltiples denegaciones de servicio en NetBSD. Las vulnerabilidades son descritas a continuación. - Se ha descubierto una vulnerabilidad en NetBSD. La vulnerabilidad reside en un socket sin cerrar que puede agotar los recursos del sistema. Un atacante local podría causar una denegación de servicio proporcionando un parámetro 'name' o 'nameln' incorrecto haciendo que el socket se quede en estado CLOSE_WAIT aunque nunca se podría cerrar. - Se ha descubierto una vulnerabilidad en sendmsg cuando se ejecuta en máquinas con arquitectura de 64-bit. La vulnerabilidad reside en una comprobación insuficiente del parámetro 'msg_controllen' en sendit(). Un atacante local podría causar un kernel panic. - Se ha descubierto una vulnerabilidad en mount_procfs. La vulnerabilidad reside en un error cuando intenta averiguar quien es el proceso padre del proceso 0 lo que causa un seguimiento a un puntero nulo por culpa de una comprobación insuficiente. Un atacante local podría causar un kernel panic mediante el intento de leer '/emul/linux/proc/0/stat' en procfs montado con la opción de 'linux'. |
|
Solución |
|
Actualización de software NetBSD Actualice desde el CVS, recompile y reinstale el kernel. ftp://ftp.netbsd.org/pub/NetBSD/NetBSD-current/src/sys/kern/ |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | |
BID | |
Recursos adicionales |
|
NetBSD Security Advisory 2006-026 ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2006-026.txt.asc |
Histórico de versiones |
||
Versión | Comentario | Data |
1.0 | Aviso emitido | 2006-12-01 |