Boletines de Vulnerabilidades |
Vulnerabilidad de falsificación DNS en Android |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Integridad |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | Android versión 4.0.4 y anteriores |
Descripción |
|
Esta vulnerabilidad permite a un atacante hacer que un dominio resuelva hacia otra dirección. Un atacante podría engañar al usuario ya que daria una relación falsa dominio-ip enviando una dirección incorrecta al realizar la petición. Esta vulnerabilidad se debe a una implementación débil del sistema generador de números pseudo-aleatorios que se utilizan como identificador único de cada petición DNS. | |
Solución |
|
La vulnerabilidad ha sido reportada y corregida por el Android Security Team en la versión 4.1.1. El fabricante aconseja actualizar a dicha versión lo antes posible | |
Identificadores estándar |
|
Propiedad | Valor |
CVE | CVE-2012-2808 |
BID | |
Recursos adicionales |
|
Bugtraq oficial http://seclists.org/bugtraq/2012/Jul/137 IBM pagina oficial http://blog.watchfire.com/wfblog/2012/07/android-dns-poisoning-randomness-gone-bad-cve-2012-2808.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Avis emitido | 2012-08-01 |