Aviso de seguridad de Debian

DSA-145-1 tinyproxy -- memoria liberada dos veces

Fecha del informe:
7 de ago de 2002
Paquetes afectados:
tinyproxy
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 4731.
En el diccionario CVE de Mitre: CVE-2002-0847.
Información adicional:

Los autores de tinyproxy, un proxy HTTP ligero, descubrieron un error en la gestión de algunas peticiones no válidas al proxy. Bajo ciertas circunstancias, una petición no válida podía derivar en que una zona de memoria fuera liberada dos veces. Esto podía dar como resultado, potencialmente, la ejecución de código arbitrario.

Este problema ha sido corregido en la versión 1.4.3-2woody2 para la distribución estable actual (woody) y en la versión 1.4.3-3 para la distribución inestable (sid). La vieja distribución estable (potato) no se ve afectada por este problema.

Le recomendamos que actualice el paquete tinyproxy inmediatamente.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/t/tinyproxy/tinyproxy_1.4.3-2woody2.dsc
http://security.debian.org/pool/updates/main/t/tinyproxy/tinyproxy_1.4.3-2woody2.diff.gz
http://security.debian.org/pool/updates/main/t/tinyproxy/tinyproxy_1.4.3.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/t/tinyproxy/tinyproxy_1.4.3-2woody2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/t/tinyproxy/tinyproxy_1.4.3-2woody2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/t/tinyproxy/tinyproxy_1.4.3-2woody2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/t/tinyproxy/tinyproxy_1.4.3-2woody2_ia64.deb
HP Precision:
http://security.debian.org/pool/updates/main/t/tinyproxy/tinyproxy_1.4.3-2woody2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/t/tinyproxy/tinyproxy_1.4.3-2woody2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/t/tinyproxy/tinyproxy_1.4.3-2woody2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/t/tinyproxy/tinyproxy_1.4.3-2woody2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/t/tinyproxy/tinyproxy_1.4.3-2woody2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/t/tinyproxy/tinyproxy_1.4.3-2woody2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/t/tinyproxy/tinyproxy_1.4.3-2woody2_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.