Aviso de seguridad de Debian
DSA-081-1 w3m -- desbordamiento de búfer
- Fecha del informe:
- 18 de oct de 2001
- Paquetes afectados:
- w3m, w3m-ssl
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 2895.
En el diccionario CVE de Mitre: CVE-2001-0700. - Información adicional:
-
En el SNS Advisory nº32 se ha informado de una vulnerabilidad de desbordamiento de búfer en la rutina que procesa las cabeceras MIME que devuelven los servidores web. Un administrador malicioso de un servidor web podría aprovechar esto y hacer que el cliente web ejecutase código arbitrario.
w3m maneja las cabeceras MIME incluidas en el mensaje de petición y respuesta de la comunicación HTTP como cualquier otro navegador web. Se producirá un desbordamiento de búfer cuando w3m reciba una cabecera MIME codificada con formato base64.
Este problema ha sido arreglado por el mantenedor en la versión 0.1.10+0.1.11pre+kokb23-4 de w3m y w3m-ssl (la versión con SSL activado), ambas para Debian GNU/Linux 2.2.
Le recomendamos que actualice sus paquetes w3m inmedietamente.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/dists/stable/updates/main/source/w3m_0.1.10+0.1.11pre+kokb23-4.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/w3m_0.1.10+0.1.11pre+kokb23.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/w3m_0.1.10+0.1.11pre+kokb23-4.dsc
- http://security.debian.org/dists/stable/updates/main/source/w3m-ssl_0.1.10+0.1.11pre+kokb23-4.dsc
- http://security.debian.org/dists/stable/updates/main/source/w3m-ssl_0.1.10+0.1.11pre+kokb23-4.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/w3m_0.1.10+0.1.11pre+kokb23.orig.tar.gz
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/w3m_0.1.10+0.1.11pre+kokb23-4_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/w3m-ssl_0.1.10+0.1.11pre+kokb23-4_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/w3m-ssl_0.1.10+0.1.11pre+kokb23-4_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/w3m_0.1.10+0.1.11pre+kokb23-4_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/w3m-ssl_0.1.10+0.1.11pre+kokb23-4_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/w3m-ssl_0.1.10+0.1.11pre+kokb23-4_arm.deb
- Intel ia32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/w3m_0.1.10+0.1.11pre+kokb23-4_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/w3m-ssl_0.1.10+0.1.11pre+kokb23-4_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/w3m-ssl_0.1.10+0.1.11pre+kokb23-4_i386.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/w3m_0.1.10+0.1.11pre+kokb23-4_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/w3m-ssl_0.1.10+0.1.11pre+kokb23-4_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/w3m-ssl_0.1.10+0.1.11pre+kokb23-4_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.