Debian-Sicherheitsankündigung
DSA-158-1 gaim -- Willkürliche Programmausführung
- Datum des Berichts:
- 27. Aug 2002
- Betroffene Pakete:
- gaim
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 5574.
In Mitres CVE-Verzeichnis: CVE-2002-0989. - Weitere Informationen:
-
Die Entwickler von Gaim, einem Instant-Messenger Client, der mehrere verschiedene Netzwerke kombiniert, haben eine Verwundbarkeit im Hyperlink-Behandlungscode gefunden. Der
Manual
-Browser-Befehl übergab eine nichtvertrauenswürdige Zeichenkette ohne Zeichen zu entschärfen oder verlässlich zu quoten an die Shell, was es einem Angreifer erlaubte, willkürliche Befehle auf dem Rechner des Benutzers auszuführen. Unglücklicherweise zeigt Gaim den Hyperlink nicht vorher an, bevor der Benutzer darauf klickt. Benutzer, die andere eingebaute Browser-Befehle verwenden, sind nicht davon betroffen.Dieses Problem wurde in Version 0.58-2.2 für die aktuelle Distribution
stable
(Woody) und in Version 0.59.1-2 für die Distributionunstable
(Sid) behoben. Die alte Distributionstable
(Potato) ist nicht davon betroffen, da sie das Gaim-Programm nicht enthält.Die reparierte Version von Gaim übergibt nicht mehr den Manual-Browser-Befehl des Benutzers an die Shell. Befehle, die %s in Anführungszeichen enthalten, müssen angepasst werden, damit sie keine Anführungszeichen mehr enthalten. Der
Manual
-Browser-Befehl kann auf derGeneral
-Tafel desPreferences
-Dialogs geändert werden, der durch das Klicken aufOptions
im Login-Fenster erreicht werden kann, oder überTools
und dannPreferences
aus dem Menübalken im Buddy-List-Fenster.Wir empfehlen Ihnen, Ihr gaim-Paket unverzüglich zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2.dsc
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2.diff.gz
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_alpha.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_alpha.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_alpha.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_arm.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_arm.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_arm.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_i386.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_i386.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_i386.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_ia64.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_ia64.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_ia64.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_ia64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_hppa.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_hppa.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_hppa.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_m68k.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_m68k.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_m68k.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_mips.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mips.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_mips.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_mipsel.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mipsel.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_mipsel.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_powerpc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_powerpc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_powerpc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_s390.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_s390.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_s390.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_sparc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_sparc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_sparc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.