SuSE ha publicado una actualización para múltiples paquetes de diversos productos SuSE Linux que corrigen numerosos problemas de seguridad

De forma resumida, las vulnerabilidades son:

· Un fallo de seguridad en multipath-tools podría permitir a cualquier usuario local conectar y enviar comandos arbitrarios al demonio de multipath debido a una configuración de permisos por defecto excesivamente permisiva.

· Ha sido detectado un fallo de seguridad en Dbus que podría permitir a un atacante saltar las restricciones. El fallo existe en el atributo send_type en algunas reglas debido a una configuración demasiado permisiva que permite a un atacante enviar comandos arbitrarios.

· Existe un fallo de seguridad en la función de OpenSSL EVP_VerifyFinal que podría permitir a un atacante eludir restricciones. Un error en la revisión de los datos devueltos por esta función podría evitar la validación del certificado.

· Existe un error en el módulo mbstring de apache-mod_php4. La falta de comprobación de caracteres de entrada podría permitir a un atacante provocar un desbordamiento de memoria intermedia basada en heap permitiéndole la ejecución de código arbitrario.

· Se han corregido diversas vulnerabilidades en apache2-mod_php5.

· Se ha encontrado un fallo de seguridad en struts que puede permitir a un atacante realizar un cross site scripting. El problema radica en la falta de comprobación de límites.

· Se ha actualizado el paquete de Qemu para evitar cinco vulnerabilidades.

· Ha sido detectado un fallo de seguridad en los ficheros de audio CAF. El fallo podría ser aprovechado por un atacante para ejecutar código arbitrario a través de comentarios especialmente manipulados en estos archivos.

· Se han corregido múltiples vulnerabilidades en la actualización de phpmyadmin.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Hispasec Sistemas