Se han descubierto varios problemas en elog, un libro de registro electrónico para la gestión de notas. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:
"GroundZero Security" descubrió que verificaba de forma insuficiente el tamaño de un buffer utilizado para procesar parámetros URL, lo que podía conducir a la ejecución de código arbitrario.
Se descubrió que elog contenía una vulnerabilidad de travesía por directorio en el procesamiento de secuencias "../" en URLs, lo que podía provocar una revelación de información.
El código para escribir el archivo de registro contenía una vulnerabilidad de cadena de formato, que podía conducir a la ejecución de código arbitrario.
Unos atributos de revisión demasiado grandes podían provocar una caída debida a un desbordamiento de buffer.
El código para escribir el archivo de registro no reforzaba adecuadamente los controles de límites, lo que podía provocar la ejecución de código arbitrario.
elog emitía diferentes mensajes de error para contraseñas no válidas y para usuarios no válidos, lo que permitía que un atacante comprobase si eran válidos los nombres de los usuarios.
Un atacante se podía encaminar a un bucle de redirección infinita con una solicitud "fail" modificada, con una potencial denegación de servicio.
La distribución estable anterior (woody) no contiene los paquetes de elog.
Para la distribución estable (sarge), se han corregido estos problemas en la versión 2.5.7+r1558-4+sarge2.
Para la distribución inestable (sid), estos problemas se han corregido en la versión 2.6.1+r1642-1.
Le recomendamos que actualice el paquete elog.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.