Aviso de seguridad de Debian

DSA-342-1 mozart -- configuración insegura de mailcap

Fecha del informe:
7 de jul de 2003
Paquetes afectados:
mozart
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 8125.
En el diccionario CVE de Mitre: CVE-2003-0538.
Información adicional:

mozart, una plataforma de desarrollo basada en el lenguaje Oz, incluía unos datos de la configuración MIME que especificaban que las aplicaciones de Oz deberían pasarse al intérprete de Oz para su ejecución. Esto significa que los gestores de archivos, los navegadores web y otros programas que confiaran en el archivo mailcap podrían pasar automáticamente a ejecutar los programas de Oz descargados de fuentes no fiables. Por tanto, un programa de Oz malicioso podría ejecutar código arbitrario bajo el id de un usuario que estuviera corriendo un programa cliente con capacidades MIME cuando el usuario eligiera un archivo (por ejemplo, al elegir un enlace en un navegador web).

Para la distribución estable (woody), este problema se ha corregido en la versión 1.2.3.20011204-3woody1.

Para la distribución inestable (sid), este problema se ha corregido en la versión 1.2.5.20030212-2.

Le recomendamos que acutalice el paquete mozart.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1.dsc
http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1.diff.gz
http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/m/mozart/mozart-doc-html_1.2.3.20011204-3woody1_all.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1_i386.deb
http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1_m68k.deb
http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1_powerpc.deb
http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1_sparc.deb
http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.