Aviso de seguridad de Debian

DSA-080-1 htdig -- obtención no autorizada de datos

Fecha del informe:
17 de oct de 2001
Paquetes afectados:
htdig
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2001-0834.
Información adicional:
Nergal informó de una vulnerabilidad en el programa htsearch que se distribuye como parte del paquete ht://Dig, un sistema de indexación y búsqueda para pequeños dominios o intranets. Usando las anteriores versiones era posible pasar el parámetro -c al programa cgi para usar un fichero de configuración diferente.

Un usuario malicioso podría hacer que htsearch mirase en un fichero como /dev/zero y dejar que el servidor se quede ejecutando un bucle sin fin, intentando leer parámetros de configuración. Si el usuario tiene permisos de escritura puede hacer que el programa apunte allí y así descargar cualquier fichero legible por la id de usuario del servidor web.

Este problema ha sido corregido en la versión 3.1.5-2.0potato.1 para Debian GNU/Linux 2.2.

Le recomendamos que actualice su paquete htdig inmediatamente.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:
http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.dsc
http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/dists/stable/updates/main/binary-all/htdig-doc_3.1.5-2.0potato.1_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/htdig_3.1.5-2.0potato.1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/htdig_3.1.5-2.0potato.1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/htdig_3.1.5-2.0potato.1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/htdig_3.1.5-2.0potato.1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/htdig_3.1.5-2.0potato.1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/htdig_3.1.5-2.0potato.1_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.