Miembros de
Boletines de Vulnerabilidades |
Vulnerabilidad en el gestor de paquetes RPM |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Integridad |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado | Versión 4.10.0 |
Descripción |
|
|
Se ha publicado una vulnerabilidad que afecta al gestor de paquetes RPM y podría ser utilizado para eludir restricciones de seguridad. RPM Package Manager, más conocido por sus siglas RPM, es un gestor de paquetes utilizado por múltiples distribuciones GNU/Linux tales como Fedora, SUSE Linux, OpenSUSE, CentOS o Red Hat, aunque originalmente fue desarrollado por esta última. Esta vulnerabilidad viene causada ya que RPM no verifica correctamente las firmas de los paquetes y ante firmas mal formadas que no es capaz de analizar finaliza sin devolver ningún error. De esta manera un atacante remoto podría utilizar este fallo para evitar la verificación de la firma, consiguiendo que la aplicación acepte paquetes sin firmar, pudiendo instalar paquetes maliciosos. |
|
Solución |
|
|
Esta vulnerabilidad ha sido corregida en la versión 4.10.2 que se encuentra en la página oficial. http://rpm.org/wiki/Releases/4.10.2 |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2012-6088 |
| BID | |
Recursos adicionales |
|
|
RPM 4.10.2 Release Notes http://rpm.org/wiki/Releases/4.10.2 |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2013-01-14 |