int(4877)

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en Opera

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema
Propiedad Valor
Fabricante afectado Comercial Software
Software afectado Opera 9 y 10

Descripción
Se han descubierto múltiples vulnerabilidades en Opera 10. Las vulnerabilidades son descritas a continuación:

- CVE-2009-1234: Un atacante remoto podría causar una denegación de servicio mediante un documento XML especialmente diseñado con muchas etiquetas de apertura.

- CVE-2009-2059: La vulnerabilidad reside en un error en el procesamiento de respuestas HTTP 3xx. Un atacante remoto podría efectuar ataques de hombre en el medio y ejecutar código script arbitrario mediante la modificación de una respuesta "CONNECT" de un servidor proxy.

- CVE-2009-2063: La vulnerabilidad reside en un error en el procesamiento de respuestas HTTP 3xx. Un atacante remoto podría efectuar ataques de hombre en el medio y ejecutar código script arbitrario mediante la modificación de una respuesta "CONNECT" de un servidor proxy.

- CVE-2009-2067: Un atacante remoto podría ejecutar código web arbitrario mediante una página http que incluye un iframe https que hace referencia a un fichero script.

- CVE-2009-2070: Un atacante remoto podría suplantar un sitio web https arbitrario permitiendo al navegador obtener un certificado válido de este sitio durante una petición y enviando posteriormente al navegador una respuesta 502 en una página especialmente diseñada.

Solución


Actualización de software

Suse Linux
Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux.

Identificadores estándar
Propiedad Valor
CVE CVE-2009-1234
CVE-2009-2059
CVE-2009-2063
CVE-2009-2067
CVE-2009-2070
BID 35411
34298
35403
35412

Recursos adicionales
SUSE Security Advisory (SUSE-SR:2009:015)
http://www.novell.com/linux/security/advisories/2009_15_sr.html

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2009-09-18

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT