1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
|
#use wml::debian::translation-check translation="2bd18a67682540fb7c79d49a858ca9bcfaa704ed"
<define-tag description>desbordamientos de búfer y vulnerabilidades de
cadena de formato</define-tag>
<define-tag moreinfo>
<p>Se han descubierto una serie de problemas en hylafax, un software de fax
cliente/servidor flexible que se incluye con muchas distribuciones de
GNU/Linux. Citando a SecurityFocus, los problemas, en detalle, son:</p>
<ul>
<li>Una vulnerabilidad de cadena de formato hace potencialmente posible que
los usuarios ejecuten código arbitrario en algunas implementaciones.
Debido a una comprobación insuficiente de la entrada, es posible
ejecutar un ataque de cadena de formato. Ya que sólo afecta a sistemas
con los programas faxrm y faxalter instalados con setuid, Debian no es
vulnerable.</li>
<li>Se ha informado de un desbordamiento de búfer en hylafax. Una
transmisión maliciosa de fax puede incluir una línea de scan larga que
desborde el búfer de memoria, corrompiendo la memoria adyacente. Una
explotación podría producir una condición de denegación de servicio, o
posiblemente, la ejecución de código arbitrario con privilegios de
root.</li>
<li>Se ha descubierto una vulnerabilidad de cadena de formato en faxgetty.
Los mensajes de fax entrantes incluyen una cadena de identificación del
suscriptor emisor (TSI), usada para identificar la máquina que envía el
fax. Hylafax usa estos datos como parte de la cadena de formato sin
comprobar la validez de los datos de entrada. Datos maliciosos de fax
pueden causar la caída del servidor, provocando una condición de
denegación de servicio.</li>
<li>Marcin Dawcewicz descubrió una vulnerabilidad de cadena de formato en
hfaxd, que hace que hfaxd caiga en ciertos casos. Ya que Debian no
tiene hfaxd instalado con setuid root, este problema no puede llevar
directamente a una vulnerabilidad. Esto, que también estaba presente en
las versiones más recientes -pero no en potato-, ha sido corregido por
Darren Nickerson.</li>
</ul>
<p>Estos problemas han sido corregidos en la versión 4.0.2-14.3 de la vieja
distribución estable (potato), en la versión 4.1.1-1.1 de la distribución
estable actual (woody) y en la versión 4.1.2-2.1 de la distribución
inestable (sid).</p>
<p>Le recomendamos que actualice los paquetes de hylafax
inmediatamente.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-148.data"
|