Vulnerability Bulletins |
Múltiples vulnerabilidades en GNU Enscript |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Experto |
| Required attacker level | Acceso remoto con cuenta |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | GNU Enscript 1.6.1 y 1.6.4 beta |
Description |
|
|
Se han descubierto múltiples vulnerabilidades en GNU Enscript. Las vulnerabilidades son descritas a continuación: - CVE-2008-3863: Se ha descubierto una vulnerabilidad de tipo desbordamiento de búfer. La vulnerabilidad reside en un error en la función "read_special_escape" en "src/psgen.c". Un atacante remoto asistido por el usuario podría ejecutar código arbitrario mediante un fichero ASCII especialmente diseñado relacionado con el comando "setfilename". - CVE-2008-4306: Se ha descubierto una vulnerabilidad de tipo desbordamiento de búfer. La vulnerabilidad reside en un error en el manejo de argumentos especiales de escape. Un atacante remoto podría ejecutar código arbitrario o causar una denegación de servicio mediante un fichero especialmente diseñado procesado con la opción "--escapes" activada. |
|
Solution |
|
|
Actualización de software Debian (DSA-1670-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.4-11.1.diff.gz http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.4.orig.tar.gz http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.4-11.1.dsc alpha (DEC Alpha) http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.4-11.1_alpha.deb amd64 (AMD x86_64 (AMD64)) http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.4-11.1_amd64.deb arm (ARM) http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.4-11.1_arm.deb hppa (HP PA RISC) http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.4-11.1_hppa.deb i386 (Intel ia32) http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.4-11.1_i386.deb ia64 (Intel ia64) http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.4-11.1_ia64.deb mips (MIPS (Big Endian)) http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.4-11.1_mips.deb mipsel (MIPS (Little Endian)) http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.4-11.1_mipsel.deb powerpc (PowerPC) http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.4-11.1_powerpc.deb s390 (IBM S/390) http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.4-11.1_s390.deb sparc (Sun SPARC/UltraSPARC) http://security.debian.org/pool/updates/main/e/enscript/enscript_1.6.4-11.1_sparc.deb Red Hat (RHSA-2008:1016-4) Red Hat Enterprise Linux (v. 5 servidor) Red Hat Enterprise Linux Desktop (v. 5 cliente) https://rhn.redhat.com/ Red Hat (RHSA-2008:1021-2) Red Hat Desktop (v. 3) Red Hat Desktop (v. 4) Red Hat Enterprise Linux AS (v. 2.1) Red Hat Enterprise Linux AS (v. 3) Red Hat Enterprise Linux AS (v. 4) Red Hat Enterprise Linux ES (v. 2.1) Red Hat Enterprise Linux ES (v. 3) Red Hat Enterprise Linux ES (v. 4) Red Hat Enterprise Linux WS (v. 2.1) Red Hat Enterprise Linux WS (v. 3) Red Hat Enterprise Linux WS (v. 4) Red Hat Linux Advanced Workstation 2.1 para Itanium Processor https://rhn.redhat.com/ |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2008-3863 CVE-2008-4306 |
| BID | 31858 |
Other resources |
|
|
Debian Security Advisory (DSA-1670-1) http://lists.debian.org/debian-security-announce/2008/msg00262.html Red Hat Security Advisory (RHSA-2008:1016-4) https://rhn.redhat.com/errata/RHSA-2008-1016.html Red Hat Security Advisory (RHSA-2008:1021-2) https://rhn.redhat.com/errata/RHSA-2008-1021.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2008-11-25 |
| 1.1 | Aviso emitido por Red Hat (RHSA-2008:1016-4), aviso emitido por Red Hat (RHSA-2008:1021-2) | 2008-12-16 |