Vulnerability Bulletins |
Vulnerabilidad en el gestor de paquetes RPM |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Integridad |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | Versión 4.10.0 |
Description |
|
|
Se ha publicado una vulnerabilidad que afecta al gestor de paquetes RPM y podría ser utilizado para eludir restricciones de seguridad. RPM Package Manager, más conocido por sus siglas RPM, es un gestor de paquetes utilizado por múltiples distribuciones GNU/Linux tales como Fedora, SUSE Linux, OpenSUSE, CentOS o Red Hat, aunque originalmente fue desarrollado por esta última. Esta vulnerabilidad viene causada ya que RPM no verifica correctamente las firmas de los paquetes y ante firmas mal formadas que no es capaz de analizar finaliza sin devolver ningún error. De esta manera un atacante remoto podría utilizar este fallo para evitar la verificación de la firma, consiguiendo que la aplicación acepte paquetes sin firmar, pudiendo instalar paquetes maliciosos. |
|
Solution |
|
|
Esta vulnerabilidad ha sido corregida en la versión 4.10.2 que se encuentra en la página oficial. http://rpm.org/wiki/Releases/4.10.2 |
|
Standar resources |
|
| Property | Value |
| CVE | CVE-2012-6088 |
| BID | |
Other resources |
|
|
RPM 4.10.2 Release Notes http://rpm.org/wiki/Releases/4.10.2 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2013-01-14 |