USN-6334-1: vulnerabilidades atftp.

• Se descubrió que atftp no gestionó adecuadamente ciertas entradas. Un atacante remoto podría enviar una solicitud tftp especialmente diseñada al servidor para provocar una falla. (CVE-2020-6097)
• Se descubrió que atftp no gestionó adecuadamente ciertas entradas. Un atacante remoto podría enviar una solicitud tftp especialmente diseñada al servidor para provocar una falla. (CVE-2021-41054)
• Se descubrió que atftp no gestionó adecuadamente ciertas entradas. Un atacante remoto podría enviar una solicitud tftp especialmente diseñada al servidor y hacer que el servidor revele datos de /etc/group. (CVE-2021-46671)

USN-6335-1: vulnerabilidades de BusyBox.

• Se descubrió que BusyBox manejaba incorrectamente ciertos archivos gzip con formato incorrecto. Si se engañara a un usuario o a un sistema automatizado para que procesara un archivo gzip especialmente diseñado, un atacante remoto podría utilizar este problema para provocar que BusyBox fallara, lo que provocaría una denegación de servicio o ejecutaría código arbitrario. Este problema sólo afectó a Ubuntu 14.04 LTS. (CVE-2021-28831)
• Se descubrió que BusyBox no validaba adecuadamente la entrada del usuario al realizar ciertas operaciones aritméticas. Si se engaña a un usuario o a un sistema automatizado para que procese un archivo especialmente diseñado, un atacante podría utilizar este problema para provocar que BusyBox falle, lo que provocaría una denegación de servicio o ejecutaría código arbitrario. (CVE-2022-48174)

Los problemas se pueden corregir actualizando los sistemas a las versiones de paquete recomendadas por el fabricante en los enlaces oficiales. En general, una actualización estándar del sistema realizará todos los cambios necesarios.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es