TLP:CLEAR
PAP:WHITE
Boletines de seguridad de Ubuntu
USN-6376-1: vulnerabilidad en c-ares [crítica].
c-ares podría bloquearse si recibiera tráfico de red especialmente diseñado.
- Se descubrió que c-ares analizaba incorrectamente ciertas respuestas SOA. A un atacante remoto podría utilizar este problema para provocar que c-res falle, resultando en una denegación de servicio. (CVE-2020-22217)
USN-6379-1: vulnerabilidad en vsftpd [alta].
vsftpd podría permitir el acceso no deseado a los servicios de red.
- Se descubrió que vsftpd era vulnerable al protocolo ALPACA TLS Ataque de confusión de contenido. Un atacante remoto posiblemente podría aprovechar este problema para redirigir el tráfico de un subdominio a otro. (CVE-2021-3618)
USN-6380-1: Vulnerabilidades de Node.js [críticas].
Se solucionaron varios problemas de seguridad en Node.js.
- Se descubrió que Node.js manejaba incorrectamente ciertas entradas. Si se engañara a un usuario o a un sistema automatizado para que abriera un archivo de entrada especialmente diseñado, un atacante remoto podría utilizar este problema para provocar una denegación de servicio. Este problema solo afectó a Ubuntu 16.04 LTS y Ubuntu 18.04 LTS. (CVE-2019-15604)
- Se descubrió que Node.js manejaba incorrectamente ciertas entradas. Si se engañara a un usuario o a un sistema automatizado para que abriera un archivo de entrada especialmente diseñado, un atacante remoto posiblemente podría utilizar este problema para obtener información confidencial. Este problema solo afectó a Ubuntu 16.04 LTS y Ubuntu 18.04 LTS. (CVE-2019-15605)
- Se descubrió que Node.js manejaba incorrectamente ciertas entradas. Si se engañara a un usuario o a un sistema automatizado para que abriera un archivo de entrada especialmente diseñado, un atacante remoto posiblemente podría utilizar este problema para ejecutar código arbitrario. Este problema solo afectó a Ubuntu 16.04 LTS y Ubuntu 18.04 LTS. (CVE-2019-15606)
- Se descubrió que Node.js manejaba incorrectamente ciertas entradas. Si se engañara a un usuario o a un sistema automatizado para que abriera un archivo de entrada especialmente diseñado, un atacante remoto podría utilizar este problema para provocar una denegación de servicio. Este problema solo afectó a Ubuntu 18.04 LTS y Ubuntu 20.04 LTS. (CVE-2020-8174)
- Se descubrió que Node.js manejaba incorrectamente ciertas entradas. Si se engañara a un usuario o a un sistema automatizado para que abriera un archivo de entrada especialmente diseñado, un atacante remoto podría utilizar este problema para provocar una denegación de servicio. (CVE-2020-8265, CVE-2020-8287)
USN-6381-1: vulnerabilidades en GNU binutils [altas].
Se solucionaron varios problemas de seguridad en GNU binutils.
- Se descubrió que existía una pérdida de memoria en ciertos módulos binutils de GNU. Es posible que un atacante utilice este problema para provocar una denegación de servicio (agotamiento de la memoria). (CVE-2020-19724, CVE-2020-21490)
- Se descubrió que GNU binutils no realizaba correctamente comprobaciones de límites en varias funciones, lo que podría provocar un desbordamiento del búfer. Un atacante podría utilizar este problema para provocar una denegación de servicio, exponer información confidencial o ejecutar código arbitrario. (CVE-2020-19726, CVE-2021-46174, CVE-2022-45703)
- Se descubrió que GNU binutils no inicializaba correctamente la memoria dinámica al procesar ciertas instrucciones de impresión. Un atacante posiblemente podría utilizar este problema para exponer información confidencial. (CVE-2020-35342)
- Se descubrió que GNU binutils no manejaba adecuadamente la lógica detrás de ciertas operaciones relacionadas con la administración de memoria, lo que podría provocar un desbordamiento del búfer. Un atacante podría utilizar este problema para provocar una denegación de servicio o ejecutar código arbitrario. (CVE-2022-44840)
- Se descubrió que GNU binutils no manejaba adecuadamente la lógica detrás de ciertas operaciones relacionadas con la administración de memoria, lo que podría provocar un acceso no válido a la memoria. Es posible que un atacante utilice este problema para provocar una denegación de servicio. (CVE-2022-47695)
- c-ares - library for asynchronous name resolution
- vsftpd - FTP server written for security
- nodejs - An open-source, cross-platform JavaScript runtime environment.
- binutils - GNU assembler, linker and binary utilities
Los problemas se pueden corregir
actualizando sus sistemas las siguientes versiones de paquete:
- Ubuntu 20.04
- libc-ares2 - 1.15.0-1ubuntu0.4
- vsftpd - 3.0.5-0ubuntu0.20.04.1
- libnode-dev - 10.19.0~dfsg-3ubuntu1.1
- libnode64 - 10.19.0~dfsg-3ubuntu1.1
- nodejs - 10.19.0~dfsg-3ubuntu1.1
- Ubuntu 18.04
- nodejs - 8.10.0~dfsg-2ubuntu0.4+esm2
- nodejs-dev - 8.10.0~dfsg-2ubuntu0.4+esm2
- binutils - 2.30-21ubuntu1~18.04.9+esm1
- binutils-multiarch - 2.30-21ubuntu1~18.04.9+esm1
- Ubuntu 16.04
- nodejs - 4.2.6~dfsg-1ubuntu4.2+esm2
- nodejs-dev - 4.2.6~dfsg-1ubuntu4.2+esm2
- nodejs-legacy - 4.2.6~dfsg-1ubuntu4.2+esm2
- binutils - 2.26.1-1ubuntu1~16.04.8+esm7
- binutils-multiarch - 2.26.1-1ubuntu1~16.04.8+esm7
- Ubuntu 14.04
- binutils - 2.24-5ubuntu14.2+esm3
- binutils-multiarch - 2.24-5ubuntu14.2+esm3
En general, una actualización estándar del sistema realizará todos los cambios necesarios.
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo
csirt@seresco.es