DSA

DSA-2297-1 icedove -- diversas vulnerabilidades

Fecha del reporte: 21 de ago 2011

Paquetes afectados: icedove

Más información: Múltiples vulnerabilidades han sido descubiertas en Icedove, una versión sin marca del cliente de correo y noticias Thunderbird.

  • CVE-2011-0084: "regenrecht" descubrió que el incorrecto manejo de puntero en el código de procesamiento SVG, podría conducir a la ejecución de código arbitrario.

  • CVE-2011-2378: "regenrecht" descubrió que la incorrecta administracion de memoria en el procesamiento DOM, podría llevar a la ejecución de código arbitrario.

  • CVE-2011-2981: "moz_bug_r_a_4" descubrió una vulnerabilidad de escalada de privilegios en Chrome, concretamente en el código de manejo de eventos.

  • CVE-2011-2982: Gary Kwong, Igor Bukanov, Nils y Bob Clary descubrierón errores de corrupción de memoria, lo que puede conducir a la ejecución de código arbitrario.

DSA-2296-1 iceweasel -- diversas vulnerabilidades

Fecha del reporte: 17 de ago 2011

Paquetes afectados: iceweasel

Más información: Múltiples vulnerabilidades han sido descubiertas en Iceweasel, un navegador web basado en Firefox. La libreria XULRunner incluida, proporciona soporte para otras aplicaciones incluidas en Debian.

  • CVE-2011-0084: "regenrecht" descubrió que el incorrecto manejo de puntero en el código de procesamiento SVG, podría conducir a la ejecución de código arbitrario.

  • CVE-2011-2378: "regenrecht" descubrió que la incorrecta administracion de memoria en el procesamiento DOM, podría llevar a la ejecución de código arbitrario.

  • CVE-2011-2981: "moz_bug_r_a_4" descubrió una vulnerabilidad de escalada de privilegios en Chrome, concretamente en el código de manejo de eventos.

DSA-2295-1 iceape -- diversas vulnerabilidades

Fecha del reporte: 17 de ago 2011

Paquetes afectados: iceape

Más información: Múltiples vulnerabilidades han sido encontradas en la suite de Internet Iceape, una versión sin marca de Seamonkey:

  • CVE-2011-0084: "regenrecht" descubrió que el incorrecto manejo de puntero en el código de procesamiento SVG, podría conducir a la ejecución de código arbitrario.

  • CVE-2011-2378: "regenrecht" descubrió que la incorrecta administracion de memoria en el procesamiento DOM, podría llevar a la ejecución de código arbitrario.

  • CVE-2011-2981: "moz_bug_r_a_4" descubrió una vulnerabilidad de escalada de privilegios en Chrome, concretamente en el código de manejo de eventos.

  • CVE-2011-2982: Gary Kwong, Igor Bukanov, Nils y Bob Clary descubrierón errores de corrupción de memoria, lo que puede conducir a la ejecución de código arbitrario.

DSA-2294-1 freetype -- falta de desinfeccion de entrada

Fecha del reporte: 14 de ago 2011

Paquetes afectados: freetype

Más información: Se descubrió que una insuficiente desinfección de entrada en el código de Freetype para analizar Type1, podría conducir a la ejecución de código arbitrario.

Para la antigua distribución estable (lenny), este problema ha sido corregido en la versión 2.3.7-2+lenny6.

Para la distribución estable (squeeze), este problema ha sido corregido en la versión 2.4.2-2.1+squeeze1.

Para la distribución inestable (sid), este problema ha sido corregido en la versión 2.4.6-1.

Le recomendamos que actualice el paquete freetype .

Original (en inglés): http://www.debian.org/security/2011/dsa-2294

DSA-2293-1 libxfont -- desbordamiento de bufer

Fecha del reporte: 12 de ago 2011

Paquetes afectados: libxfont

Más información: Tomas Hoger encontró un desbordamiento de búfer, en la libreria libXfont de X.Org, que puede permitir una elevación local de privilegios a través de archivos de fuentes manipulados.

Para la antigua distribución estable (lenny), este problema ha sido corregido en la versión 1.3.3-2.

Para la distribución estable (squeeze), este problema ha sido corregido en la versión 1.4.1-3.

Para la distribución inestable (sid), este problema ha sido corregido 1.4.4-1.

Le recomendamos que actualice el paquete libxfont .

Original (en inglés): http://www.debian.org/security/2011/dsa-2293

DSA-2292-1 isc-dhcp -- denegacion de servicio

Fecha del reporte: 11 de ago 2011

Paquetes afectados: isc-dhcp

Más información: David Zych descubrió que el ISC DHCP se bloquea al procesar ciertos paquetes, provocando a una denegación de servicio.

Para la antigua distribución estable (lenny), este problema ha sido corregido en la versión 3.1.1-6+lenny6 del paquete dhcp3 .

Para la distribución estable (squeeze), este problema ha sido corregido en la versión 4.1.1-P1-15+squeeze3 del paquete isc-dhcp .

Para la distribución testing (wheezy) e inestable (sid), este problema en breve sera solucionado.

Le recomendamos que actualice el paquete ISC DHCP .

Original (en inglés): http://www.debian.org/security/2011/dsa-2292

DSA-2291-1 squirrelmail -- diversas vulnerabilidades

Fecha del reporte: 08 de ago 2011

Paquetes afectados: squirrelmail

Más información: Varias vulnerabilidades han sido encontradas en SquirrelMail, una aplicación de correo web. El proyecto "Common Vulnerabilities and Exposures" identifica los siguientes vulnerabilidades:

  • CVE-2010-4554: SquirrelMail no impide la renderización de páginas dentro de un marco HTML de terceros, lo que hace más fácil para los atacantes remotos realizar ataques de "clickjacking" mediante un sitio web manipulado.

  • CVE-2010-4555, CVE-2011-2752, CVE-2011-2753: Múltiples pequeños errores en SquirrelMail permiten a un atacante inyectar secuencias de comandos maliciosos en varias páginas, o modificar el contenido de las preferencias del usuario.

DSA-2290-1 samba -- cross-site scripting

Fecha del reporte: 07 de ago 2011

Paquetes afectados: samba

Más información: La herramienta de administración web para Samba (SWAT), contiene varias vulnerabilidades (CVE-2011-2522) de peticiones de falsificación cross-site (CSRF), y una vulnerabilidad de cross-site scripting (CVE-2011-2694).

Para la antigua distribución estable (lenny), estos problemas han sido corregidos en la versión 2:3.2.5-4lenny15.

Para la distribución estable (squeeze), estos problemas han sido corregidos en la versión 2:3.5.6~dfsg-3squeeze5.

Para la distribución testing (wheezy) e inestable (sid), estos problemas han sido corregidos en la versión 2:3.5.10~dfsg-1.

Le recomendamos que actualice el paquete samba .

DSA-2289-1 typo3-src -- diversas vulnerabilidades

Fecha del reporte: 07 de ago 2011

Paquetes afectados: typo3-src

Más información: Varias vulnerabilidades remotas han sido descubiertas en el framework de gestión de contenidos web TYPO3: cross-site scripting, divulgaciónde información, retraso en derivación de la autentificación, y la eliminación de archivos arbitrarios. Más detalles se pueden encontrar en el aviso de seguridad Typo3: TYPO3-CORE-SA-2011-001.

Para la antigua distribucion estable (lenny), estos problemas han sido corregidos en la versión 4.2.5-1+lenny8.

Para la distribución estable (squeeze), estos problemas han sido corregidos en la versión 4.3.9+dfsg1-1+squeeze1.

Para la distribución testing (wheezy) e inestable (sid), estos problemas han sido corregidos en la versión 4.5.4+dfsg1-1.

Le recomendamos que actualice el paquete typo3-src .

DSA-2288-1 libsndfile -- desbordamiento de entero

Fecha del reporte: 28 de jul 2011

Paquetes afectados: libsndfile

Más información: Hossein Lotfi descubrio un desbordamiento de entero en el código libsndfile para analizar archivos de audio París, lo que podría conducir a la ejecución de código arbitrario.

Para la antigua distribución estable (lenny), este problema ha sido corregido en la versión 1.0.17-4+lenny3.

Para la distribución estable (squeeze), este problema ha sido corregido en la versión 1.0.21-3+squeeze1

Para la distribución inestable (sid), este problema ha sido corregido en la versión 1.0.25-1.

Le recomendamos que actualice el paque libsndfile .

Original (en inglés): http://www.debian.org/security/2011/dsa-2288