Miembros de
Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en el kernel de Linux |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado | Red Hat Enterprise Linux |
Descripción |
|
|
Se han descubierto múltiples vulnerabilidades en el kernel de Linux. Las vulnerabilidades son descritas a continuación: CVE-2008-7270: Se ha descubierto una vulnerabilidad en OpenSSL versiones anteriroes a 0.9.8j. La vulnerabilidad reside cuando se encuentra activado " SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG". Un atacante remoto podría desacticvar el uso de cifradores mediante la captura de tráfico de red para descubrir el identificador de sesión. CVE-2010-4180: Se ha descubierto una vulnerabilidad en OpenSSL versiones anteriroes a 0.9.8j. La vulnerabilidad reside cuando se encuentra activado " SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG". Un atacante remoto podría desacticvar el uso de cifradores mediante la captura de tráfico de red para descubrir el identificador de sesión CVE-2009-3245: Se ha descubierto una vulnerabildad en OpenSSL. La vulnerabilidad reside al no comprobar siembre el valor de vuelto por la función bn_wexpand() . Un atacante remoto podría provocar un fallo de asignación de memoria interrumpiendo la aplicación mediante el uso de la librería OpenSSL y el motor de hardware "UBSEC". |
|
Solución |
|
|
Actualización de software Red Hat (RHSA-2010:0977-1) Red Hat Enterprise Linux AS versión 4 Red Hat Enterprise Linux Desktop versión 4 Red Hat Enterprise Linux ES versión 4 Red Hat Enterprise Linux WS versión 4 https://rhn.redhat.com/ Debian (DSA-2141-1) Para la versión estable (lenny), actualizar a la versión 2.3.7-2+lenny5. http://www.debian.org/security/ OpenSSL OpenSSL 0.9.8q http://www.openssl.org/source/ Red Hat (RHSA-2010:0978-1) RHEL Desktop Workstation (v. 5 cliente) Red Hat Enterprise Linux (v. 5 servidor) Red Hat Enterprise Linux Desktop (v. 5 cliente) https://rhn.redhat.com/ Red Hat (RHSA-2010:0979-1) Red Hat Enterprise Linux Desktop (v. 6) Red Hat Enterprise Linux Desktop Optional (v. 6) Red Hat Enterprise Linux HPC Node (v. 6) - x86_64 Red Hat Enterprise Linux HPC Node Optional (v. 6) Red Hat Enterprise Linux Server (v. 6) Red Hat Enterprise Linux Server Optional (v. 6) Red Hat Enterprise Linux Workstation (v. 6) Red Hat Enterprise Linux Workstation Optional (v. 6) https://rhn.redhat.com/ |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2008-7270 CVE-2009-3245 CVE-2010-4180 |
| BID | |
Recursos adicionales |
|
|
Red Hat Security Advisory (RHSA-2010:0977-01) https://rhn.redhat.com/errata/RHSA-2010-0977.html Red Hat Security Advisory (RHSA-2010:0978-01) https://rhn.redhat.com/errata/RHSA-2010-0978.html Red Hat Security Advisory (RHSA-2010:0979-01) https://rhn.redhat.com/errata/RHSA-2010-0979.html OpenSSL http://www.openssl.org/news/secadv_20101202.txt |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2010-12-15 |
| 1.1 | Aviso actualizado por Red Hat (RHSA-2010:0978-01) | 2010-12-15 |
| 1.2 | Aviso actualizado por Red Hat (RHSA-2010:0979-01) | 2010-12-15 |
| 1.3 | Aviso emitido por openssl | 2010-12-20 |
| 1.4 | Aviso emitido por Debian (DSA-2141-1) | 2011-03-01 |