Alerta de Segurança Debian

DSA-144-1 wwwoffle -- tratamento inadequado de entrada

Data do Alerta:
06 Ago 2002
Pacotes Afetados:
wwwoffle
Vulnerável:
Sim
Referência à base de dados de segurança:
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 5260.
No dicionário CVE do Mitre: CVE-2002-0818.
Informações adicionais:

Um problema com o wwwoffle foi descoberto. O proxy web não trata entrada de dados com a configuração Content-Length negativa adequadamente o que faz com que o processo filho seja derrubado. Nesse momento, não está claro como isso pode levar a uma exploração da vulnerabilidade; no entanto, é melhor prevenir do que remediar, então aqui está uma atualização.

Adicionalmente, na versão woody senhas vazias serão tratadas como incorretas na tentativa de autenticação. Nós também substituímos CanonicaliseHost() pela última rotina do 2.7d, fornecida pelo autor. Isso acaba com endereços IP IPv6 mal formados em URLs que causam problemas (sobrescrever memória, potenciais exploits).

Esse problema foi corrigido na versão 2.5c-10.4 para a antiga distribuição estável (potato), na versão 2.7a-1.2 para a atual distribuição estável (woody) e na versão 2.7d-1 para a distribuição instável (sid).

Nós recomendamos que você atualize seus pacotes wwwoffle.

Corrigido em:

Debian GNU/Linux 2.2 (potato)

Fonte:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4.dsc
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4.diff.gz
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_sparc.deb

Debian GNU/Linux 3.0 (woody)

Fonte:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2.dsc
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2.diff.gz
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_ia64.deb
HP Precision:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.