Aviso de seguridad de Debian
DSA-144-1 wwwoffle -- gestión de entrada inadecuada
- Fecha del informe:
- 6 de ago de 2002
- Paquetes afectados:
- wwwoffle
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 5260.
En el diccionario CVE de Mitre: CVE-2002-0818. - Información adicional:
-
Se ha descubierto un problema con wwwoffle. El proxy web no manejaba los datos de entrada negativos en la propiedad Content-Length (longitud del contenido) de las preferencia, lo que conducía a una caída del proceso hijo. Por ahora no es obvio saber cómo puede conducir a una vulnerabilidad explotable; sin embargo, es mejor asegurarse que lamentarse, así que hay una actualización.
Además, en la versión de woody se tratarán las contraseñas vacías como erróneas al intentar autenticarse. En la versión de woody también hemos reemplazado CanonicaliseHost() con la última rutina de 2.7d, ofrecida por el autor original. Esto evita que causen problemas la direcciones IPv6 malas en URLs (sobreescritura de memoria, explotaciones potenciales).
Este problema ha sido corregido en la versión 2.5c-10.4 de la anterior distribución estable (potato), en la versión 2.7a-1.2 para la distribución estable actual (woody) y en la versión 2.7d-1 para la distribución inestable (sid).
Le recomendamos que actualice los paquetes wwoffle.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4.dsc
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4.diff.gz
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_sparc.deb
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2.dsc
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2.diff.gz
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_ia64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.