Se ha descubierto una vulnerabilidad de desbordamiento de búfer en el cliente SETI@home en el tratamiento de las respuestas del servidor. De forma que bastará enviar una cadena de gran longitud seguida del carácter de nueva línea (‘n’) al cliente para provocar el desbordamiento. El servidor principal de SETI@home (shserver2.ssl.berkeley.edu) también se ha visto afectado por un problema similar que podría haber permitido a un atacante no solo tomar el control del servidor sino de los más de 4 millones de colaboradores del proyecto.
SETI@home es un conocido proyecto de informática distribuida creado por Universidad de Berkeley y el instituto SETI, en el que en la actualidad participan más de 4,3 millones de usuarios colaborando, de forma conjunta y coordinada, para analizar las señales captadas por los radiotelescopios en busca de señales de inteligencia extraterrestre.
Se recomienda a todos los usuarios del cliente (o salvapantallas) de SETI@home actualicen a la nueva versión 3.08 publicada para corregir esta vulnerabilidad y que se encuentra disponible desde: http://setiathome.berkeley.edu/download.html.
Más información:
SETI@home
http://setiathome.berkeley.edu/
SETI@home Clients Information Leakage and Buffer Overflow Vulnerabilities
http://www.net-security.org/vuln.php?id=2594
Antonio Ropero
antonior@hispasec.com
