Aviso de seguridad de Debian
DSA-342-1 mozart -- configuración insegura de mailcap
- Fecha del informe:
- 7 de jul de 2003
- Paquetes afectados:
- mozart
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 8125.
En el diccionario CVE de Mitre: CVE-2003-0538. - Información adicional:
-
mozart, una plataforma de desarrollo basada en el lenguaje Oz, incluía unos datos de la configuración MIME que especificaban que las aplicaciones de Oz deberían pasarse al intérprete de Oz para su ejecución. Esto significa que los gestores de archivos, los navegadores web y otros programas que confiaran en el archivo mailcap podrían pasar automáticamente a ejecutar los programas de Oz descargados de fuentes no fiables. Por tanto, un programa de Oz malicioso podría ejecutar código arbitrario bajo el id de un usuario que estuviera corriendo un programa cliente con capacidades MIME cuando el usuario eligiera un archivo (por ejemplo, al elegir un enlace en un navegador web).
Para la distribución estable (woody), este problema se ha corregido en la versión 1.2.3.20011204-3woody1.
Para la distribución inestable (sid), este problema se ha corregido en la versión 1.2.5.20030212-2.
Le recomendamos que acutalice el paquete mozart.
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1.dsc
- http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1.diff.gz
- http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/m/mozart/mozart-doc-html_1.2.3.20011204-3woody1_all.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1_i386.deb
- http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_i386.deb
- http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1_m68k.deb
- http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_m68k.deb
- http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1_powerpc.deb
- http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_powerpc.deb
- http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1_sparc.deb
- http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_sparc.deb
- http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.