Aviso de seguridad de Debian

DSA-192-1 html2ps -- ejecución de código arbitraria

Fecha del informe:

8 de nov de 2002

Paquetes afectados:

html2ps

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 6079.
En el diccionario CVE de Mitre: CVE-2002-1275.

Información adicional:

El equipo de seguridad de SuSE encontró una vulnerabilidad en html2ps, un conversor de HTML a PostScript, que abría archivos inseguramente en base a una entrada sin limpiar. Este problema se podía explotar cuando html2ps estaba instalado como filtro en lprng y el atacante había ganado anteriormente acceso a la cuenta lp.

Estos problemas se han corregido en la versión 1.0b3-1.1 para la distribución estable actual (woody), en la versión 1.0b1-8.1 para la distribución estable anterior (potato) y en la versión 1.0b3-2 para la distribución inestable (sid).

Le recomendamos que actualice el paquete html2ps.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:: http://security.debian.org/pool/updates/main/h/html2ps/html2ps_1.0b1-8.2.dsc; http://security.debian.org/pool/updates/main/h/html2ps/html2ps_1.0b1-8.2.diff.gz; http://security.debian.org/pool/updates/main/h/html2ps/html2ps_1.0b1.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/pool/updates/main/h/html2ps/html2ps_1.0b1-8.2_all.deb

Debian GNU/Linux 3.0 (woody)

Fuentes:: http://security.debian.org/pool/updates/main/h/html2ps/html2ps_1.0b3-1.2.dsc; http://security.debian.org/pool/updates/main/h/html2ps/html2ps_1.0b3-1.2.diff.gz; http://security.debian.org/pool/updates/main/h/html2ps/html2ps_1.0b3.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/pool/updates/main/h/html2ps/html2ps_1.0b3-1.2_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.