Múltiples vulnerabilidades en el proyecto grid BOINC

[wolfbcn]

El proyecto BOINC ha actualizado recientemente sus versiones cliente y servidor para corregir múltiples vulnerabilidades que podrían afectar a los usuarios de la red y sus proyectos.

BOINC (Berkeley Open Infrastructure for Network Computing) es una red global de computación voluntaria, creada por la universidad de Berkeley y utilizada ampliamente por millones de usuarios para disponer de redes de ordenadores dedicados al análisis de datos que requieran una gran potencia de cómputo, relacionados generalmente con proyectos transcendentales como médicos (análisis del genoma, DNA@Home), meteorológicos (Climateprediction.net) o incluso astronómicos como el conocido SETI.

La red distribuida (grid) necesita de un cliente para acceder y poder disponer de la potencia de cómputo del ordenador conectado en ese momento así como un servidor que gestione y distribuya las peticiones de cómputo en cada momento.

Las vulnerabilidades que se han solucionado son las siguientes:

•Diversos desbordamientos de memoria intermedia basada en pila en el parser XML (CVE-2013-2298), tanto en la versión cliente como servidor v7.x, y en la gestión de elementos 'file_signature', afectando esta vez sólo a las v6.10.58 y v6.12.34.


•Varias inyecciones SQL, en la parte servidor del planificador (boinc_db.cpp), y en el apartado web "team_search.php" vulnerable a través del parámetro 'type'.


Las vulnerabilidades así como otras funcionalidades han sido corregidas en las nuevas versiones 7.0.64/7.0.65 disponibles al público desde:

http://boinc.berkeley.edu/download.php

Más información:

Multiple vulnerabilities in BOINC http://seclists.org/oss-sec/2013/q2/214

Proyectos que usan BOINC: http://es.wikipedia.org/wiki/Anexo:Proyectos_que_usan_BOINC

http://www.laflecha.net/canales/seguridad/noticias/multiples-vulnerabilidades-en-el-proyecto-grid-boinc