Aviso de seguridad de Debian

DSA-121-1 xtell -- desbordamiento de búfer, problema de enlace simbólico, navegación de directorios ".."

Fecha del informe:
11 de mar de 2002
Paquetes afectados:
xtell
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2002-0332, CVE-2002-0333, CVE-2002-0334.
Información adicional:

Se han encontrado algunos problemas relacionados con la seguridad en el paquete xtell, un cliente y servidor de mensajería simple. En detalle, estos problemas contienen varios desbordamientos de búfer, un problema en la conexión con enlaces simbólicos, navegación de directorios no autorizados cuando la ruta contiene "..". Estos problemas pueden llevar a un atacante a llegar a ejecutar código arbitrario en la máquina servidor. El servidor debe ejecutarse por defecto con los privilegios de nobody, ya que esta cuenta no puede ser explotada.

El mantenedor de Debian ha corregido los cambios portando desde una versión más reciente de xtell. Estos problemas están arreglados en la versión 1.91.1 de la distribución estable de Debian y en la versión 2.7 de las distribuciones testing e inestable de la distribución de Debian.

Le recomendamos que actualice sus paquetes xtell imediatamente.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:
http://security.debian.org/dists/stable/updates/main/source/xtell_1.91.1.dsc
http://security.debian.org/dists/stable/updates/main/source/xtell_1.91.1.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/xtell_1.91.1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/xtell_1.91.1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/xtell_1.91.1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/xtell_1.91.1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/xtell_1.91.1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/xtell_1.91.1_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.