Se ha lanzado actualizaciones de seguridad para tres vulnerabilidades que afectan a los softwares vim y libxml2 de Red Hat Enterprise Linux 8, que permitirían a un atacante realizar ejecución remota de código (RCE).
Se ha lanzado actualizaciones de seguridad para tres vulnerabilidades que afectan a los software vim y libxml2 de Red Hat Enterprise Linux 8, que permitirían a un atacante realizar ejecución remota de código (RCE).
Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Alta”. Las mismas se detallan a continuación:
- CVE-2022-29824, de severidad “Alta” y puntuación asignada de 8.5. Esta vulnerabilidad se debe al desbordamiento de variables “enteros” en las funciones de control de búfer en los archivos buf.c (xmlBuf*) y tree.c (xmlBuffer*) de libxml2 en versiones anteriores a 2.9.14. Un atacante remoto podría enviar archivos XML de varios gigabytes especialmente diseñado a la aplicación, provocando desbordamientos de enteros y así lograr una ejecución remota de código (RCE).
- CVE-2022-1621, de severidad “Alta” y puntuación asignada de 7.8. Esta vulnerabilidad se debe al desbordamiento de búfer del montón en las funciones vim_strncpy y find_word de GitHub vim/vim versiones
- CVE-2022-1629, de severidad “Alta” y puntuación asignada de 7.8. Esta vulnerabilidad se debe a un error de sobre lectura del búfer en la función find_next_quote de GitHub vim/vim versiones anteriores a 8.2.4925. Esto permitiría a un atacante modificar la memoria del sistema y realizar ejecución remota de código (RCE)
Las versiones de los productos afectados de Red Hat Enterprise Linux 8 son:
- Red Hat Enterprise Linux para ARM 64: 8.
- Red Hat Enterprise Linux Server para Power LE para SAP: 8.6
Recomendamos actualizar los productos accediendo a los siguientes enlaces de proveídos por Red Hat Enterprise Linux 8:
- Para vim: https://access.redhat.com/errata/RHSA-2022:5319
- Para libxml2: https://access.redhat.com/errata/RHSA-2022:5317
Referencias: