Aviso de seguridad de Debian

DSA-078-1 slrn -- invocación remota de órdenes

Fecha del informe:
24 de sep de 2001
Paquetes afectados:
slrn
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 3364.
En el diccionario CVE de Mitre: CVE-2001-1035.
Información adicional:
Byrial Jensen encontró un feo problema en slrn (un lector de news con soporte para hilos de discusión). La noticia en slrn-announce lo describe como sigue:

Cuando intenta descodificar binarios, el código interno ejecuta cualquier guión en shell que el artículo pudiera contener, aparentemente asumiendo que podría ser algún tipo de archivo autodescomprimible.

Este problema ha sido reparado en la versión 0.9.6.2-9potato2 al haber quitado esta utilidad.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:
http://security.debian.org/dists/stable/updates/main/source/slrn_0.9.6.2-9potato2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/slrn_0.9.6.2-9potato2.dsc
http://security.debian.org/dists/stable/updates/main/source/slrn_0.9.6.2.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/slrn_0.9.6.2-9potato2_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/slrnpull_0.9.6.2-9potato2_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/slrn_0.9.6.2-9potato2_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/slrnpull_0.9.6.2-9potato2_arm.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/slrn_0.9.6.2-9potato2_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/slrnpull_0.9.6.2-9potato2_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/slrn_0.9.6.2-9potato2_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/slrnpull_0.9.6.2-9potato2_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/slrn_0.9.6.2-9potato2_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/slrnpull_0.9.6.2-9potato2_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/slrn_0.9.6.2-9potato2_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/slrnpull_0.9.6.2-9potato2_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.