Aviso de seguridad de Debian

htdig -- explotación remota en htdig

Fecha del informe:
9 de dic de 1999
Paquetes afectados:
htdig
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-1999-0978.
Información adicional:
La versión de htdig que acompañaba a Debian GNU/Linux 2.1 tenía un problema con las llamadas a programas externos para gestionar documentos no HTML: llamaba al programa externo con el documento como parámetro, pero no comprobaba si había escapes de la shell. Esto podía ser explotado creando archivos con nombres que incluyeran escapes de la shell para ejecutar comandos arbitrarios en la máquina que corre htdig.
Arreglado en:
Fuentes:
http://security.debian.org/dists/stable/updates/source/htdig_3.1.2-4slink6.diff.gz
http://security.debian.org/dists/stable/updates/source/htdig_3.1.2-4slink6.dsc
http://security.debian.org/dists/stable/updates/source/htdig_3.1.2.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/binary-alpha/htdig_3.1.2-4slink6_alpha.deb
i386:
http://security.debian.org/dists/stable/updates/binary-i386/htdig_3.1.2-4slink6_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/binary-m68k/htdig_3.1.2-4slink6_m68k.deb
sparc:
http://security.debian.org/dists/stable/updates/binary-sparc/htdig_3.1.2-4slink6_sparc.deb