Una nueva vulnerabilidad que afecta al gestor de paquetes RPM podría eludir restricciones de seguridad.
RPM Package Manager, es un gestor de paquetes utilizado por múltiples distribuciones GNU/Linux tales como Fedora, SUSE Linux, OpenSUSE, CentOS o Red Hat, aunque originalmente fue desarrollado por esta última.
La vulnerabilidad
RPM no verifica correctamente las firmas de los paquetes y ante firmas mal formadas que no es capaz de analizar finaliza sin devolver ningún error. Esto podría ser utilizado por un atacante remoto para usar el fallo y así evitar la verificación de la firma, consiguiendo que la aplicación acepte paquetes sin firmar y así instalar paquetes maliciosos.
Esta vulnerabilidad tiene asignado el identificador CVE-2012-6088. Se trata de una regresión introducida en la versión 4.10.0 y afecta a todas las versiones de esta rama (RPM 4.10.x). Ha sido corregida en la versión 4.10.2, que se encuentra disponible para su descarga en la página oficial.
Más información: RPM 4.10.2 Release Notes http://rpm.org/wiki/Releases/4.10.2
Más información: RPM 4.10.2 Release Notes http://rpm.org/wiki/Releases/4.10.2
Fuente: Laflecha
No hay comentarios:
Publicar un comentario