Säkerhetsbulletin från Debian
DSA-158-1 gaim -- exekvering av godtyckliga program
- Rapporterat den:
- 2002-08-27
- Berörda paket:
- gaim
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5574.
I Mitres CVE-förteckning: CVE-2002-0989. - Ytterligare information:
-
Utvecklarna av Gaim, en direktsamtalsklient som kombinerar flera olika nätverk, upptäckte en sårbarhet i hanteringen av hyperlänkar. Det ”manuella ” visarkommandot sänder en opålitlig sträng till skalet utan att ersätta specialtecken eller citera den ordentligt, vilket gör att en angripare kan exekvera godtyckliga kommandon på användarens maskin. Tyvärr visar inte Gaim hyperlänken innan användaren klickar på den. Användare som använder det inbyggda läsarprogrammet är påverkas inte.
Detta problem har rättats i version 0.58-2.2 för den aktuella stabila utgåvan (Woody) samt i version 0.59.1-2 för den instabila utgåvan (Sid). Den gamla stabila utgåvan (Potato) påverkas inte eftersom den inte innehåller Gaim-programmet.
Den rättade versionen av Gaim sänder inte längre användarens manuella läsarkommando via skalet. Kommandon som innehåller %s inom citationstecken måste ändras så att de inte innehåller några citationstecken. Det ”manuella” läsarkommandot kan redigeras i ”General”-panelen i dialogen ”Preferences”, vilken kan nås genom att trycka på ”Options” från inloggningsfönstret, eller från ”Tools” och sedan ”Preferences” från menyraden i kompislistan.
Vi rekommenderar att ni uppgraderar ert gaim-paket omedelbart.
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2.dsc
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2.diff.gz
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_alpha.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_alpha.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_alpha.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_arm.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_arm.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_arm.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_i386.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_i386.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_i386.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_ia64.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_ia64.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_ia64.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_ia64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_hppa.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_hppa.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_hppa.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_m68k.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_m68k.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_m68k.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_mips.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mips.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_mips.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_mipsel.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mipsel.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_mipsel.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_powerpc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_powerpc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_powerpc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_s390.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_s390.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_s390.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_sparc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_sparc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_sparc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.