Contabilidad
INSEGURIDADES
OpenSSL
El juego de herramientas OpenSSL suministra soporte para conexiones seguras entre ordenadores. OpenSSL incluye una herramienta de administración certificada y librerías compartidas que ofrecen varios algoritmos y protocolos criptográficos. Ravis Ormandy y Will Drewry de Google Security Team descubrieron undesbordamiento de búfer en la función de utilidad SSL_get_shared_ciphers(). Un atacante podría enviar una lista de ciphers a una aplicación que use esta función y sobreescribir un búfer (CVE2006-3738). Pocas aplicaciones hacen uso de esta vulnerable función y generalmente sólo se emplea cuando las aplicaciones depuración. se compilan para su Tavis Ormandy y Will Drewry también descubrieron un fallo en elcódigo de cliente SSLv2. Cuando una aplicación cliente usa OpenSSL para crear una conexión SSLv2 a un servidor malicioso, este servidor podría hacer que el cliente se colgara. (CVE-2006-4343) Dr S. N. Henson del equipo core de OpenSSL y Open Network Security ha desarrollado recientemente una suite de pruebas ASN.1 para NISCC (www.niscc. gov.uk) que dejó al descubierto vulnerabilidades de denegaciónde servicio: • Determinados tipos de claves públicas pueden tomar cantidades de tiempo de proceso desproporcionadas, llevando a una denegación de servicio. (CVE-2006-2940) • Durante el análisis de ciertas estructuras ASN.1 no válidas, se manejó incorrectamente una condición de error. Esto puede llevar a un bucle que consume memoria del sistema (CVE-2006-2937). Este problema no afecta a la versiónOpenSSL distribuida en Red Hat Enterprise Linux 2.1 Estas vulnerabilidades pueden afectar a aplicaciones que usan OpenSSL para analizar datos ASN.1 desde fuentes no fiables, incluyendo servidores SSL que habilitan autentificación de I cliente y aplicaciones S/MIME.
Referencia Debian: DSA-1185-1 Referencia Gentoo: GLSA 200609-05 Referencia Mandriva: MDKSA-2006:172-1 Referencia Red Hat:RHSA-2006:0695-12 Referencia Slackware: SSA:2006-272-01 Referencia Suse: SUSE-SA:2006:058 Referencia Ubuntu: USN-353-1
POLITICAS DE SEGURIDAD DE LAS DISTRIBUCIONES MAYORITARIAS
Distribuidor
Debian Los avisos de seguridad actuales se incluyen en la página de inicio. Los avisos se proveen como páginas HTML con enlaces a los parches. Los avisos también incluyen una referencia a la lista de correo.Info:http://www.gentoo.org/security/en/index.xml Los avisos de seguridad actuales para Foro:http://forums.gentoo.org/ la lista Gentoo en el sitio web de Lista:http://www.gentoo.org/main/en/lists.xml seguridad de Gentoo enlazan desde la Referencia:GLSA:… 1) página principal. Los avisos se presentan en HTML con códigos para fusionar las versiones corregidas. Info:http://www.mandrakesecure.net Mandrakesoftposee su propio sitio web Lista:http://www.mandrakesecure.net/en/mlist.php que versa sobre temas relacionados con Referencia:MDKSA:… 1) la seguridad. Entre otras cosas,incluye avisos de seguridad y referencias a las listas de correo. Los avisos son páginas HTML,pero no contienen enlaces a los parches. Info:http://www.redhat.com/errata/ Red Hat archiva los fallos de seguridadLista:http://www.redhat.com/mailman/listinfo/ bajo lo que denominan erratas. A Referencia:RHSA-… 1) continuación los problemas para cada versión de Red Hat se agrupan. Los avisos de seguridad se proveen como una página HTML con enlaces a los parches. Info:http://www.slackware.com/security La página de inicio contiene enlaces al Lista:http://www.slackware.com/lists/(slackware-security) archivo de seguridad de la lista decorreo. Referencia:[slackware-security]… 1) No existe información adicional sobre seguridad en Slackware. Info:http://www.suse.de/en/private/support/ Ya no existe un enlace a la página de security/index.html seguridad tras un remodelado en el sitio Parches:http://www.suse.de/en/private/ web de SuSE. Existe información en la download/updates Lista:suse-security-announce lista de correos y los...
Regístrate para leer el documento completo.