blob: 1182ed04b6d76b16452f62490234d591503c262c (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
|
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e"
<define-tag description>varias vulnerabilidades</define-tag>
<define-tag moreinfo>
<p>Se descubrieron múltiples <a href="http://www.idefense.com/advisory/12.19.02.txt">\
vulnerabilidades</a> en el Sistema de Impresión Común de UNIX (CUPS).
Varias de ellas representan un potencial compromiso remoto o una denegación
de servicio. El proyecto CVE (Vulnerabilidades y Exposiciones Comunes)
identifica los siguientes problemas:</p>
<ul>
<li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1383">\
CAN-2002-1383</a>: Múltiples desbordamientos de entero permitían a un
atacante remoto ejecutar código arbitrario vía el interfaz HTTP de CUPSd
y el código de gestión de imágenes de los filtros de CUPS.</li>
<li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1366">\
CAN-2002-1366</a>: Algunas condiciones de fuga junto con
<code>/etc/cups/certs/</code> permitian a los usuarios locales con
privilegios de lp crear o sobreescribir archivos arbitrarios. Esto no
está presente en la versión de potato.</li>
<li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1367">\
CAN-2002-1367</a>: Esta vulnerabilidad permitía a un atacante remoto
añadir impresoras sin autentificación vía cierto paquete UDP, que se
podía usar para realizar actividades no autorizadas como robar el
certificado local de root para el servidor de administración vía una
página de «se necesita autorización».</li>
<li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1368">\
CAN-2002-1368</a>: Las longitudes negativas dadas a memcpy() podían
causar una denegación de servicio y posiblemente una ejecución de código
arbitrario.</li>
<li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1369">\
CAN-2002-1369</a>: Una llamada insegura a la función strncat() al
procesar la cadena de las opciones permitía a un atacante remoto
ejecutar código arbitrario vía un desbordamiento de búfer.</li>
<li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1371">\
CAN-2002-1371</a>: Las imágenes de longitud cero permitían a un atacante
remoto ejecutar código arbitrario vía encabezados modificados.</li>
<li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1372">\
CAN-2002-1372</a>: CUPS no comprobaba adecuadamente los valores devueltos
en varias operaciones de archivos y sockets, lo que podía permitir a un
atacante remoto causar una denegación de servicio.</li>
<li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1384">\
CAN-2002-1384</a>: El paquete cupsys contenía algo de código del paquete
xpdf, usado para convertir los archivos PDF al imprimir, que contenía un
desbordamiento de entero explotable. Esto no está presente en la
versión de potato.</li>
</ul>
<p>Aunque hemos trabajado muy duro para arreglar todos los problemas de los
paquetes para potato, los paquetes pueden contener aún otros problemas de
seguridad. Por tanto, recomendamos a los usuarios de sistemas con potato
que estén usando CUPS que se actualicen a woody pronto.</p>
<p>Para la distribución estable actual (woody), estos problemas se han
corregido en la versión 1.1.14-4.3.</p>
<p>Para la distribución estable anterior (potato), estos problemas s ehan
corregido en la versión 1.0.4-12.1.</p>
<p>Para la distribución inestable (sid), estos problemas se han corregido
en la versión 1.1.18-1.</p>
<p>Le recomendamos que actualice los paquetes de CUPS inmediatamente.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-232.data"
|