Actualización del kernel para Red Hat Enterprise Linux 6
Red Hat ha publicado una actualización del kernel para toda la familia Red Hat EnterpriseLinux 6 que solventa cuatro nuevas vulnerabilidades que podrían ser aprovechadas por un atacante para provocar denegaciones de servicio, elevar sus privilegios en el sistema o acceder a información sensible.
Los problemas corregidos se deben a errores en la implementación del protocolo TCP/IP (CVE-2013-4470) al tratar determinados paquetes UDP cuando está activa la característica UDP Fragmentation Offload (UFO), un fallo (CVE-2013-6367) de división por cero en la función apic_get_tmcct() en la implementación de Local Advanced Programmable Interrupt Controller (LAPIC) de KVM. Por último dos fallos de corrupción de memoria (CVE-2013-6368 y CVE-2013-2141).
Además se han solucionado múltiples fallos de menor importancia y se incluyen dos mejoras. Esta actualización está disponible desde Red Hat Network.
Más información:
Important: kernel security, bug fix, and enhancement update
Antonio Ropero
Twitter: @aropero
Fuente: www.hispasec.com Leer Más   Boletines de seguridad para Asterisk
Asterisk ha publicado los boletines AST-2013-006y AST-2013-007que solucionan dos vulnerabilidadesque podrían permitir a atacantes remotos provocar denegaciones de servicio o elevar sus privilegios.
Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El primero de los problemas (AST-2013-006) reside en un desbordamiento de búfer en el tratamiento de mensajes SMS de 16 bits con un valor de longitud específicamente manipulado. Por otra parte (AST-2013-007) un usuario remoto autenticado podría acceder a funciones dialplan a través de protocolos de control externos y provocar que determinadas funciones dialplan modifiquen archivos arbitrarios o ejecutar comandos arbitrarios en los sistemas afectados.
Ambos problemas afectan a Asterisk Open Source 1.8.x en adelante y las ramas 10.x y 11.x, Certified Asterisk 1.8.x y 11.x.
Se han publicado las versiones Asterisk Open Source 1.8.24.1, 10.12.4, 11.6.1; Certified Asterisk 1.8.15-cert4, 11.2-cert3 y Asterisk with Digiumphones 10.12.4-digiumphones que solucionan dichos problemas.
Más información:
Asterisk Manager User Dialplan Permission Escalation
Buffer Overflow when receiving odd length 16 bit SMS message
Antonio Ropero
Twitter: @aropero
Fuente: www.hispasec.com Leer Más Vulnerabilidades de Cross-Site Scripting en IBM Lotus iNotes
Se han confirmado tres vulnerabilidadesen IBM Lotus iNotes 8.5.x y 9.0 que podrían permitir a atacantes remotos la realización de ataques de cross-site scripting.
El primero de los problemas (con CVE-2013-4063) reside en el tratamiento del contenido activo en mensajes email. Un segundo fallo (con CVE-2013-4064) en el modo ultra-light de iNotes y podría permitir la realización de ataques de cross-site scripting persistente. Por ultimo, con CVE-2013-4065, también en el modo ultra-light de iNotes podría permitir la realización de ataques de cross-site scripting reflejado. En todos los casos los problemas podrían permitir a un atacante remoto dejar al descubierto los datos personales del usuario
IBM ha publicado las actualizaciones necesarias en IBM Domino 9.0.1:
Y en IBM Domino 8.5.3 Fix Pack 6, disponible desde:
Más información:
IBM iNotes Cross-Site Scripting Vulnerabilities (CVE-2013-4063, CVE-2013-4064, CVE-2013-4065)
Antonio Ropero
Twitter: @aropero
Fuente: www.hispasec.com Leer Más |
domingo, 29 de diciembre de 2013
Hispasec @unaaldia
