Aviso de seguridad de Debian

DSA-144-1 wwwoffle -- gestión de entrada inadecuada

Fecha del informe:

6 de ago de 2002

Paquetes afectados:

wwwoffle

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 5260.
En el diccionario CVE de Mitre: CVE-2002-0818.

Información adicional:

Se ha descubierto un problema con wwwoffle. El proxy web no manejaba los datos de entrada negativos en la propiedad Content-Length (longitud del contenido) de las preferencia, lo que conducía a una caída del proceso hijo. Por ahora no es obvio saber cómo puede conducir a una vulnerabilidad explotable; sin embargo, es mejor asegurarse que lamentarse, así que hay una actualización.

Además, en la versión de woody se tratarán las contraseñas vacías como erróneas al intentar autenticarse. En la versión de woody también hemos reemplazado CanonicaliseHost() con la última rutina de 2.7d, ofrecida por el autor original. Esto evita que causen problemas la direcciones IPv6 malas en URLs (sobreescritura de memoria, explotaciones potenciales).

Este problema ha sido corregido en la versión 2.5c-10.4 de la anterior distribución estable (potato), en la versión 2.7a-1.2 para la distribución estable actual (woody) y en la versión 2.7d-1 para la distribución inestable (sid).

Le recomendamos que actualice los paquetes wwoffle.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4.dsc; http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4.diff.gz; http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_sparc.deb

Debian GNU/Linux 3.0 (woody)

Fuentes:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2.dsc; http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2.diff.gz; http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_ia64.deb
HP Precision:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.