Boletines de Vulnerabilidades |
Denegación de servicio en SANE |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Denegación de Servicio |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricant afectat | GNU/Linux |
Software afectado | SANE <= 1.0.7 |
Descripción |
|
Se ha encontrado una vulnerabilidad en el programa Sane (Scanner Access Now Easy), paquete que provee acceso local o remoto en una red a escáners. Esta situacion puede ser aprovechada por atacantes remotos para producir una denegación de servicio, cuando sus IP no estén aceptadas en el archivo sane.conf del sane server. Por defecto saned sólo acepta peticiones locales. |
|
Solución |
|
Como solución temporal, saned puede lanzarse vía xinetd o inetd en conjunto con tcpwrapper para restringir accesos remotos. Aplique los mecanismos de actualización propios de su distribución, o bien obtenga las fuentes del software y compílelo usted mismo. Actualización de software SuSE Linux Consulte el aviso del fabricante para obtener los parches correspondientes http://www.suse.de/de/security/2003_046_sane.html Debian Linux Consulte el aviso del fabricante para obtener los parches correspondientes http://www.debian.org/security/2003/dsa-379 Red Hat Linux Consulte el aviso del fabricante para obtener los parches correspondientes http://www.redhat.com/support/errata/RHSA-2003-278.html http://www.redhat.com/support/errata/RHSA-2003-285.html Mandrake Linux Consulte el aviso del fabricante para obtener los parches correspondientes http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:099 |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CAN-2003-0773 CAN-2003-0774 CAN-2003-0775 CAN-2003-0776 CAN-2003-0777 CAN-2003-0778 |
BID | |
Recursos adicionales |
|
SuSE-SA:2003:046 http://www.suse.de/de/security/2003_046_sane.html |
Histórico de versiones |
||
Versión | Comentario | Data |
1.0 | Aviso emitido | 2003-11-20 |