Actualización de GZIP para HP-UX 11.11 y 11.23

HP ha publicado una actualización para la utilidad GZIP bajo el sistema operativo HP-UX 11.11 y 11.23. La actualización soluciona varios problemas que pueden llevar a un atacante a provocar una denegación de servicio en el sistema e incluso ejecutar código arbitrario.

HP-UX supone la versión de Unix desarrollada por HP (Hewlett-Packard) basada en su mayor parte en System V, incorpora además características BSD. Suele ejecutarse sobre servidores HP-9000.

De forma resumida, los fallos son:

* Un error no especificado en gzip 1.3.5 que permite a un atacante provocar una denegación de servicio a través de un fichero gzip especialmente manipulado.

* Un error en la función make_table de unlzh.c que permite provocar una denegación de servicio o incluso ejecutar código.

* Un error de índices de array en the make_table permite provocar una denegación de servicio.

* Un desbordamiento de memoria intermedia en la función build_tree de unpack.z que permite la ejecución de código arbitrario.

* unlzh.c permite provocar una denegación de servicio.

Los fallos se deben a la versión de GZIP que proporciona HP-UX Software Distributor (SD).

Se recomienda instalar, según versión:

Para HP-UX B.11.11, PHCO_35587 o posterior desde http://itrc.hp.com

Para HP-UX B.11.23, actualizar a HP-UX SD B.11.23.0612 o posterior.