Alerta de Segurança Debian
DSA-144-1 wwwoffle -- tratamento inadequado de entrada
- Data do Alerta:
- 06 Ago 2002
- Pacotes Afetados:
- wwwoffle
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 5260.
No dicionário CVE do Mitre: CVE-2002-0818. - Informações adicionais:
-
Um problema com o wwwoffle foi descoberto. O proxy web não trata entrada de dados com a configuração Content-Length negativa adequadamente o que faz com que o processo filho seja derrubado. Nesse momento, não está claro como isso pode levar a uma exploração da vulnerabilidade; no entanto, é melhor prevenir do que remediar, então aqui está uma atualização.
Adicionalmente, na versão woody senhas vazias serão tratadas como incorretas na tentativa de autenticação. Nós também substituímos CanonicaliseHost() pela última rotina do 2.7d, fornecida pelo autor. Isso acaba com endereços IP IPv6 mal formados em URLs que causam problemas (sobrescrever memória, potenciais exploits).
Esse problema foi corrigido na versão 2.5c-10.4 para a antiga distribuição estável (potato), na versão 2.7a-1.2 para a atual distribuição estável (woody) e na versão 2.7d-1 para a distribuição instável (sid).
Nós recomendamos que você atualize seus pacotes wwwoffle.
- Corrigido em:
-
Debian GNU/Linux 2.2 (potato)
- Fonte:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4.dsc
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4.diff.gz
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_sparc.deb
Debian GNU/Linux 3.0 (woody)
- Fonte:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2.dsc
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2.diff.gz
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_ia64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_sparc.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.