Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en el paquete Xfree86 en Unix/Linux |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado |
Red Hat Linux 9.0 Mandrake 9.0 Mandrake Linux 9.1/PPC Corporate Server 2.1 Debian |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en Xfree86, la implementación de código abierto del sistema X-Windows de Unix/Linux. Estos fallos són debidos a desbordamientos de búfer en algunas funciones, que están relacionadas con la transferencia y la enumeración de fuentes de servidores a clientes. Estas vulnerabilidades pueden permitir a un atacante remoto ejecutar código arbitrario en la máquina cliente o a un usuario local ganar privilegios de superusuario en un servidor "XServer" Nota: En algunas configuraciones (no activadas por defecto), es posible usar los servidores "xfs" y "XServer" como clientes para servidores de fuente remotos. En estas configuraciones, una atacante remoto puede explotar estas vulnerabilidades en estos servidores. |
|
Solución |
|
Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo. Actualización de software XFree Actualizar el servidor XFree86 con la última versión CVS (4.3.99.12), que soluciona estas vulnerabilidades: http://www.xfree86.org/cvs/ Linux Debian Linux Debian 3.0 http://www.debian.org/security/2003/dsa-380 NetBSD NetBSD 1.5.x parches ftp://ftp.netbsd.org/pub/NetBSD/NetBSD-release-1-5 NetBSD 1.6.x patches ftp://ftp.netbsd.org/pub/NetBSD/NetBSD-release-1-6 NetBSD-current patches ftp://ftp.netbsd.org/pub/NetBSD/NetBSD-current RedHat Linux RedHat Linux 9 http://www.redhat.com/archives/redhat-watch-list/2003-November/msg00009.html Sun(102803) Solaris 8 / SPARC / patch 119067-06 Solaris 8 / SPARC / patch 109862-04 Solaris 9 / SPARC / patch 112785-60 Solaris 9 / SPARC / patch 113923-03 Solaris 10 / SPARC / patch 119059-21 Solaris 8 / x86 / patch 119068-06 Solaris 8 / x86 / patch 109863-04 Solaris 9 / x86 / patch 112786-49 Solaris 9 / x86 / patch 113924-03 Solaris 10 / x86 / patch 119060-20 Solaris 10 / x86 / patch 118966-25 Solaris 9 / x86 (Xorg) / patch 118908-03 Solaris 10 / x86 (Xorg) / patch 125720-03 http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2003-0730 |
BID | |
Recursos adicionales |
|
XFree86 document http://www.xfree86.org/cvs/changes.html Bugtraq Mailing List: "Multiple integer overflows in XFree86 (local/remote)" 30-08-2003 http://marc.theaimsgroup.com/?l=bugtraq&m=106229335312429&w=2 RedHat Security Advisory RHSA-2003:288-01 http://www.redhat.com/archives/redhat-watch-list/2003-November/msg00009.html Linux Debian security advisory DSA 380-1 dated September 12, 2003 http://www.debian.org/security/2003/dsa-380 Linux Mandrake security advisory MDKSA-2003:089 dated September, 2003 http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:089 NetBSD security advisory NetBSD-SA2003-015 ftp://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2003-015.txt.asc Sun Alert Notification (102803) http://sunsolve.sun.com/search/document.do?assetkey=1-26-102803-1 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2003-09-08 |
1.1 | Aviso emitido por Sun (102803) | 2007-05-30 |
1.2 | Aviso actualizado por Sun (102803) | 2007-06-01 |