Salto de restricciones en el gestor de paquetes RPM


Se ha publicado una vulnerabilidad que afecta al popular gestor de paquetes RPM y que podría ser utilizado para eludir restricciones de seguridad.





RMP Manager Packet, más conocido por sus siglas RPM, es un gestor de paquetes utilizado por múltiples distribuciones GNU/Linux tales como Fedora, SUSE Linux, OpenSUSE, CentOS o Red Hat, aunque originalmente fue desarrollado por esta última.

La vulnerabilidad anunciada se debe a que RPM no verifica correctamente las firmas de los paquetes y ante firmas mal formadas que no es capaz de analizar finaliza sin devolver ningún error. De esta forma un atacante remoto podría utilizar este fallo para evitar la verificación de la firma, logrando que la aplicación acepte paquetes sin firmar y la consecuente instalación de paquetes maliciosos.

Esta vulnerabilidad tiene asignado el identificador CVE-2012-6088. Se trata de una regresión introducida en la versión 4.10.0 y afecta a todas las versiones de esta rama (RPM 4.10.x). Ha sido corregida en la versión 4.10.2, que se encuentra disponible para su descarga en la página oficial.

Más información:

RPM 4.10.2 Release Notes
http://rpm.org/wiki/Releases/4.10.2

Fuente:
Por Juan José Ruiz
http://www.hispasec.com



Otras noticias de interés:

Proponen crear una estrategia internacional contra ataques cibernéticos
La mejor arma contra los ladrones online, espías y vándalos que amenazan a las empresas globales y la seguridad sería una especie de regulación internacional del ciberespacio, indicaron expertos del sector...
Facebook pone en peligro contraseñas de usuarios Hotmail
Parece que cada día se encuentran nuevos problemas de seguridad en Facebook. Ayer veíamos que el sistema de fotos deja la puerta abierta a la distribución de malware aunque de momento no ha acarreado graves consecuencias más allá de molestos tag...
El creador del gusano de Twitter, contratado para realizar análisis de seguridad
Hace pocas semanas, un joven newyorkino de 17 años creó un gusano que sembró el pánico en Twitter. El exploit explotaba la vulnerabilidad de tipo cross-site scripting creando miles de tweets automáticos desde las cuentas infectadas....
Envenenamiento DNS en Android
Roee Hay y Roi Saltzman del equipo IBM Application Security Research Group, han descubierto una vulnerabilidad en el sistema DNS de Android, que afecta a la versión 4.0.4 (Ice Cream Sandwich) y anteriores. Permite a un atacante hacer que un dominio ...
Microsoft alerta de un fallo de seguridad en Internet Explorer
Los fallos de seguridad son una constante que ni las grandes compañías tecnologías pueden evitar. Si hace unas semanas, la aparición de Heartbleed, la vulnerabilidad que afectó a OpenSSL, parecía certificar el fin de Internet y provocó una gra...
Vulnerabilidades en servidores Apple QuickTime/Darwin Streaming 4.1.x
Se han identificado múltiples vulnerabilidades en el servidor de streaming Darwin que pueden permitir a un atacante provocar denegaciones de servicio o el acceso a información sensible. ...
No serás 100% anonimo en Twitter
Según informa bbc.co.uk: Twitter accedió a facilitar información de al menos una cuenta vinculada con una publicación....
Desarrolladores alemanes consiguen que Xbox de Microsoft funcione en Linux
Un grupo de desarrolladores alemán, llamado h07.org, ha realizado una versión de Linux para la consola de juegos Xbox de Microsoft en Europa. Este grupo ha aseguradoque el dipositivo será compatible con PC. La distribución de Linux para Xbox ser...
Rumores o Verdad - La web de Microsoft asaltada
Me llegaron varios email con esta noticia - La propia Microsoft confirmó públicamente ayer jueves que un hacker consiguió infiltrarse en uno de sus servidores y descargarse la versión beta del programa .NET. ...
Vulnerabilidad en XINETD
Las versiones de XINETD previas a la 2.3.7 contienen una vulnerabilidad que permite que un usuario local mate el superservidor XINETD. XINETD es un reemplazo del demonio INETD estándar del mundo UNIX, muy utilizado en entornos Linux, *BSD, etc. Este...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • gestor
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • paquetes
  • pgp
  • php
  • restricciones
  • rpm
  • sabayon
  • salto
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra