Member of The Internet Defense League Últimos cambios
Últimos Cambios
Blog personal: El hilo del laberinto Geocaching

Actualización recomendada de la GLIBC

Última Actualización: 9 de Febrero de 2.000 - Viernes

Artículo publicado en el boletín Una-Al-Día de Hispasec, el 30 de Enero de 2.001.
Publicado también en es.internet.com, el 2 de Febrero de 2.001.

Las versiones actuales de GLIBC son vulnerables a numerosos ataques locales.

GLIBC es la librería estándar C desarrollada por GNU. Se trata de la librería básica empleada por cualquier programa en C que utilice funciones estándar, como "printf()" o "strcmp()". Podría decirse, por lo tanto, que casi cualquier programa UNIX utiliza la librería LIBC, de una forma u otra (incluso los programas en lenguajes interpretados, como python o perl utilizan la LIBC, ya que su implementación está en C). Existen varias implementaciones de LIBC, entre ellas la de GNU, que es la que nos ocupa en este boletín.

Algunos de los problemas y vulnerabilidades encontrados son:

  • Carga de librerías dinámicas no autorizadas en procesos SETUID.

  • Limpieza incorrecta de diversas variables de entorno, en procesos SETUID.

  • Lectura de ficheros arbitrarios.

  • Problemas en arquitecturas Alpha.

  • Problemas con RPC bajo kernel Linux 2.4.x.

  • Creación o sobreescritura de ficheros.

  • ataques "symlink" al hacer "profiling" de una aplicación.

Se recomienda revisar los webs de seguridad de las distintas distribuciones, para verificar la existencia de las actualizaciones correspondientes.

Más información:



Python Zope ©2001 jcea@jcea.es

Más información sobre los OpenBadges

Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS