Salto de restricciones en el gestor de paquetes RPM


Se ha publicado una vulnerabilidad que afecta al popular gestor de paquetes RPM y que podría ser utilizado para eludir restricciones de seguridad.





RMP Manager Packet, más conocido por sus siglas RPM, es un gestor de paquetes utilizado por múltiples distribuciones GNU/Linux tales como Fedora, SUSE Linux, OpenSUSE, CentOS o Red Hat, aunque originalmente fue desarrollado por esta última.

La vulnerabilidad anunciada se debe a que RPM no verifica correctamente las firmas de los paquetes y ante firmas mal formadas que no es capaz de analizar finaliza sin devolver ningún error. De esta forma un atacante remoto podría utilizar este fallo para evitar la verificación de la firma, logrando que la aplicación acepte paquetes sin firmar y la consecuente instalación de paquetes maliciosos.

Esta vulnerabilidad tiene asignado el identificador CVE-2012-6088. Se trata de una regresión introducida en la versión 4.10.0 y afecta a todas las versiones de esta rama (RPM 4.10.x). Ha sido corregida en la versión 4.10.2, que se encuentra disponible para su descarga en la página oficial.

Más información:

RPM 4.10.2 Release Notes
http://rpm.org/wiki/Releases/4.10.2

Fuente:
Por Juan José Ruiz
http://www.hispasec.com



Otras noticias de interés:

Facebook guarda cada click que haces
Según un trabajado anónimo de la compañía, el servicio almacena todos los clicks que haces dentro del portal y los utiliza para determinar quienes son tus mejores amigos, contactos más utilizados, etc....
Foxit Reader y FreeType, afectados por la vulnerabilidad que está permitiendo el jailbreak del iPhone
Jailbreakme.com apareció hace algunas semanas como el método más sencillo y efectivo hasta el momento de realizar un jailbreak del iPhone, equipado con la última versión de su sistema operativo. La liberación se llevaba a cabo explotando un...
Informe de Vulnerabilidades del 2do. Trimestre de 2010
INTECO-CERT publica el segundo informe trimestral de Vulnerabilidades con información resumida de los fallos de seguridad dados de alta en los últimos 3 meses....
Usa ODF (Rechaza OOXML)
OpenDocument: El Formato de Documento Abierto para Aplicaciones Ofimáticas de OASIS (en inglés, OASIS Open Document Format for Office Applications), también referido como OpenDocument u ODF, es un formato de fichero estándar para el almacenamient...
Seguridad en plataformas Java y .NET
Las plataformas Java, de SUN Microsystems y .NET de Microsoft no son más que unos lenguajes de programación basados en la potencia de las redes y en la idea de que el mismo software debe funcionar en varias plataformas. Los dos sistemas se fundamen...
Apple quiere que el jailbreaking sea ilegal
En otra de sus iniciativas para tratar de controlar aún más su mercado Apple está tratando de hacer que el proceso de jailbreak de los iPhones e iPod Touch sea ilegal, algo que haría que instalar aplicaciones de terceros fuera un delito....
Un nuevo ataque rompe una Wi-Fi encriptada en un minuto
El ataque funciona sólo en los antiguos sistemas WPA que utilizan el algoritmo TKIP. Los investigadores recomiendan sustituir TKIP por AES que es un sistema más robusto....
Microsoft actualiza un parche para el RAS de Windows que bloqueaba la conexión con VPN
Microsoft ha comunicado que un parche que solucionaba un fallo de seguridad del RAS (Remote Access Service) en varias versiones de Windows tiene un agujero que puede impedir que los usuarios realicen conexiones VPN (Virtual Private Network). ...
Chrome establece un nuevo estándar de seguridad en navegadores
Todos los fabricantes de navegadores deberían echar un vistazo a Google Chrome y aislar los datos no fiables del resto del sistema operativo, según destaca un investigador de seguridad....
Vulnerabilidad 0 day en Mozilla Firefox 3.x para todos los sistemas operativos
El día 25 de marzo se ha publicado sin previo aviso una prueba de concepto que hace que Firefox deje de responder. No existe parche disponible y se sabe que la vulnerabilidad, en realidad, permite ejecución de código. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • gestor
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • paquetes
  • pgp
  • php
  • restricciones
  • rpm
  • sabayon
  • salto
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra