Aviso de seguridad de Debian

xpdf -- explotación local

Fecha del informe:
10 de sep de 2000
Paquetes afectados:
xpdf
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2000-0727, CVE-2000-0728.
Información adicional:
xpdf tal y como se distribuye en Debian GNU/Linux 2.2 sufre dos problemas:
  1. la creación de archivos temporales no se hacía de forma segura lo que hacía a xpdf vulnerable a un ataque de enlace simbólico.
  2. cuando se gestionaban URLs en documentos no se verificaba que se hacía con los metacaracteres antes de iniciar el navegador. Esto hace posible construir un documento que causaba que xpdf ejecutara comandos arbitrarios cuando el usuario veía una URL.
Ambos problemas han sido arreglados en la versión 0.90-7, y le recomendamos que actualice su paquete xpdf inmediatamente.
Arreglado en:

Debian 2.2 (potato)

Fuentes:
http://security.debian.org/dists/stable/updates/main/source/xpdf_0.90-7.diff.gz
http://security.debian.org/dists/stable/updates/main/source/xpdf_0.90-7.dsc
http://security.debian.org/dists/stable/updates/main/source/xpdf_0.90.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/xpdf_0.90-7_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/xpdf_0.90-7_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/xpdf_0.90-7_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/xpdf_0.90-7_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/xpdf_0.90-7_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/xpdf_0.90-7_sparc.deb