Boletines de Vulnerabilidades |
Vulnerabilidades en el comando 'ls' de los sistemas Linux |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | GNU/Linux |
| Software afectado | gnu coreutils - ls |
Descripción |
|
|
Se han descubierto dos vulnerabilidades en el comando 'ls', parte del paquete 'fileutils' o 'coreutils' de los sistemas Linux. La primera de las vulnerabilidades provoca un desbordamiento de entero y la segunda un consumo elevado de memoria. Estas vulnerabilidades pueden ser explotadas remotamente (por usuarios anónimos o autentificados) a través de aplicaciones que utilizen ls, como por ejemplo, el servidor FTP 'wu-ftpd'. Aunque sólo RedHat y Mandrake han emitido un aviso acerca de estas vulnerabilidades, éstas afectan a todas las distribuciones GNU/Linux que incluyen el paquete coreutils o fileutils. |
|
Solución |
|
|
Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo. Actualización de software Gnu coreutils Parche http://mail.gnu.org/archive/html/bug-coreutils/2003-10/msg00074.html Mandrake Linux Mandrake 9.0, 9.1, 9.2, 9.2/AMD64, Multi Network Firewall 8.2, Corporate Server 2.1 http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:106 RedHat Linux RedHat 7.1, 7.2, 7.3, 8.0, 9 https://rhn.redhat.com/errata/RHSA-2003-309.html=20 Debian Linux Debian Linux 3.0 Source http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody5.dsc http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody5.diff.gz http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2.orig.tar.gz Architecture independent http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd-academ_2.6.2-3woody5_all.deb Alpha http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody5_alpha.deb ARM http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody5_arm.deb Intel IA-32 http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody5_i386.deb Intel IA-64 http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody5_ia64.deb HP Precision http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody5_hppa.deb Motorola 680x0 http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody5_m68k.deb Big endian MIPS http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody5_mips.deb Little endian MIPS http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody5_mipsel.deb PowerPC http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody5_powerpc.deb IBM S/390 http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody5_s390.deb Sun Sparc http://security.debian.org/pool/updates/main/w/wu-ftpd/wu-ftpd_2.6.2-3woody5_sparc.deb |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CAN 2003-0853 CAN-2003-0854 |
| BID | |
Recursos adicionales |
|
|
Aviso de seguridad de Red Hat RHSA-2003:309-08 del 3 de Noviembre del 2003 https://rhn.redhat.com/errata/RHSA-2003-309.html=20 Mandrake Security Advisory MDKSA-2003:106 http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:106 Debian Security Advisory DSA 705-1 http://lists.debian.org/debian-security-announce/debian-security-announce-2005/msg00085.html |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2003-11-05 |
| 1.1 | Aviso emitido por Debian (DSA 705-1) | 2005-04-05 |