int(4210)

Boletines de Vulnerabilidades

Denegación de servicio en bzip2

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Denegación de Servicio
Dificultad Experto
Requerimientos del atacante Acceso remoto con cuenta

Información sobre el sistema
Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado bzip2 < 1.0.5

Descripción
Se ha descubierto una vulnerabilidad en bzip2. La vulnerabilidad reside en un error en el manejo de ficheros en "bzlib.c".

Un atacante remoto podría una causar denegación de servicio mediante un fichero especialmente diseñado que provoca una sobre-lectura del búfer.

Solución


Actualización de software

Red Hat (RHSA-2008:0893-2)
RHEL Desktop Workstation (v. 5 cliente)
Red Hat Desktop (v. 3)
Red Hat Desktop (v. 4)
Red Hat Enterprise Linux (v. 5 servidor)
Red Hat Enterprise Linux AS (v. 2.1)
Red Hat Enterprise Linux AS (v. 3)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux Desktop (v. 5 cliente)
Red Hat Enterprise Linux ES (v. 2.1)
Red Hat Enterprise Linux ES (v. 3)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux WS (v. 2.1)
Red Hat Enterprise Linux WS (v. 3)
Red Hat Enterprise Linux WS (v. 4)
Red Hat Linux Advanced Workstation 2.1 para Itanium Processor
https://rhn.redhat.com/

Sun Alert Notification (241786)
Solaris 8 / SPARC / patch 138441-01 o posterior
Solaris 9 / SPARC / patch 114586-03 o posterior
Solaris 10 / SPARC / patch 126868-02 o posterior
OpenSolaris / SPARC / x86 / build snv_89 o posterior
Solaris 8 / x86 / patch 138442-01 o posterior
Solaris 9 / x86 / patch 114587-03 o posterior
Solaris 10 / x86 / patch 126869-03 o posterior
http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage

Identificadores estándar
Propiedad Valor
CVE CVE-2008-1372
BID 28286

Recursos adicionales
Red Hat Security Advisory (RHSA-2008:0893-2)
https://rhn.redhat.com/errata/RHSA-2008-0893.html

Sun Alert Notification (241786)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-241786-1

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2008-09-18

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT