a procesos de actualización, ante la aparición de un grave problema de
seguridad.
Lynx es un navegador web en formato texto que funciona principalmente en
entornos UNIX-like y en sistemas de memoria virtual, aunque igualmente
existen versiones con capacidad de ejecución en Microsoft Windows.
Lynx está especialmente orientado para la verificación de la
arquitectura de servicios web, proporcionando al usuario la posibilidad
de analizar y visualizar un servicio de un modo muy parecido al que
emplean, por ejemplo, las arañas de buscadores. Hay usuarios que emplean
Lynx para la navegación, pese a la dificultad que ello entraña: ni de
algo tan aparentemente inocuo podemos fiarnos ante fallos como el
aparecido.
La vulnerabilidad deriva de un importante problema de seguridad verificado
en las versiones 2.8.3, 2.8.4, 2.8.5, y 2.8.6dev.13, no descartándose que
otras pudieran ser susceptibles de explotación. El fallo posibilita la
ejecución remota de código arbitrario en los sistemas donde corran
versiones Lynx sin actualizar, lo que lo convierte en altamente crítico.
Un error en la función HTrjis(), encargada de la gestión de cabeceras
enviadas desde los servidores Network News Transfer Protocol (NNTP).
Este problema podría aprovecharse para provocar un desbordamiento de
búfer, ofreciendo enlaces que una vez visitados con Lynx, redireccionen
al usuario a servidores NNTP maliciosos, a través del gestor URI nntp:
El problema ha sido corregido con la liberación de la versión 2.8.6dev.14,
se recomienda que los usuarios actualicen sus sistemas mediante los
mecanismos propios de actualización de cada distribución o producto.
Sergio Hernando
shernando@hispasec.com
shernando@hispasec.com
Más información:
Lynx Buffer Overflow in HTrjis() in Processing NNTP Headers Lets Remote
Users Execute Arbitrary Code
http://www.securitytracker.com/alerts/2005/Oct/1015065.html
Repositorio Lynx
http://lynx.isc.org/current/
Wikipedia - Lynx
http://es.wikipedia.org/wiki/Lynx
No hay comentarios:
Publicar un comentario