Miembros de
Boletines de Vulnerabilidades |
Salto de restricciones SecureLevel en el cambio de fecha en NetBSD |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Integridad |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | UNIX |
| Software afectado | NetBSD <= 2.1 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad en NetBSD versión 2.1 y anteriores, y en el kernel de Linux 2.6.15 y anteriores. La vulnerabilidad reside en que se puede modificar la fecha del sistema poniéndola al valor máximo en UNIX (19 Jan 2038), de forma que luego pasa automáticamente al valor mínimo (13 Dec 1901) saltando la protección "securelevel > 1" que no permite cambiar la fecha hacia atrás. La explotación de esta vulnerabilidad podría permitir a un atacante local modificar la fecha del sistema. |
|
Solución |
|
|
Actualización de software NetBSD Actualice desde el CVS, recompile y reinstale el kernel. ftp://ftp.netbsd.org/pub/NetBSD/NetBSD-current/src/sys/kern/kern_time.c |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2005-4352 |
| BID | 16170 |
Recursos adicionales |
|
|
NetBSD Security Advisory (2006-002) ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2006-002.txt.asc |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2006-01-13 |