Se ha publicado una
vulnerabilidad que afecta al popular gestor de paquetes RPM y que podría
ser utilizado para eludir restricciones de seguridad.
RPM Package Manager, más conocido por sus siglas RPM, es un gestor de paquetes
utilizado por múltiples distribuciones GNU/Linux tales como Fedora, SUSE Linux,
OpenSUSE, CentOS o Red Hat, aunque originalmente fue desarrollado por esta
última.
La
vulnerabilidad anunciada se debe a que RPM
no verifica correctamente las firmas de los paquetes y ante firmas mal
formadas que no es capaz de analizar finaliza sin devolver ningún error. De esta
forma un atacante remoto podría utilizar este fallo para evitar la verificación
de la firma, logrando que la aplicación acepte paquetes sin firmar y la
consecuente instalación de paquetes maliciosos.
Esta
vulnerabilidad tiene asignado el identificador CVE-2012-6088. Se trata de una regresión introducida en la versión
4.10.0 y afecta a todas las versiones de esta rama (RPM 4.10.x). Ha sido corregida en la versión 4.10.2,
que se encuentra disponible para su descarga en la página oficial.
Más información:
RPM
4.10.2 Release Notes
Juan José Ruiz
Este bug está parcheado desde el 10/12/2012.
ResponderEliminar