int(6445)

Boletines de Vulnerabilidades


Actualización de seguridad de libxslt

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado RHEL Desktop Workstation (v. 5 client)
Red Hat Enterprise Linux (v. 5 server)
Red Hat Enterprise Linux Desktop (v. 5 client)
Red Hat Enterprise Linux Desktop (v. 6)
Red Hat Enterprise Linux HPC Node (v. 6)
Red Hat Enterprise Linux Server (v. 6)
Red Hat Enterprise Linux Workstation (v. 6)

Descripción

Red hat ha publicado una actualización de los paquetes libxslt, que corrige varias vulnerabilidades:
- CVE-2012-2871: vulnerabilidad de desbordamiento de buffer de tipo heap-based, que podría ser aprovechada por atacantes para crear un fichero XSL malicioso que podría causar un cierre inesperado de la aplicación o la ejecución de código arbitrario con los privilegios del usuario que ejecute la aplicación.
- CVE-2012-2825, CVE-2012-2870, CVE-2011-3970: varias vulnerabilidades de denegación de servicio que podría aprovechar un atacante para crear un fichero XSL malicioso que podría provocar un cierre inesperado de la aplicación.
- CVE-2011-1202: fuga de información que podría ayudar a un atacante a saltarse las protecciones de corrupción de memoria.

Solución

Actualizar los paquetes libxslt a la última versión publicada.

Identificadores estándar

Propiedad Valor
CVE CVE-2011-1202
CVE-2011-3970
CVE-2012-2825
CVE-2012-2870
CVE-2012-2871
BID

Recursos adicionales

RedHat Security Advisory RHSA-2012:1265-2
http://rhn.redhat.com/errata/RHSA-2012-1265.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2012-09-19

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT