Aviso de seguridad de Debian

DSA-210-1 lynx -- inyección de CRLF

Fecha del informe:
13 de dic de 2002
Paquetes afectados:
lynx, lynx-ssl
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 5499.
En el diccionario CVE de Mitre: CVE-2002-1405.
Información adicional:

lynx (un navegador de modo texto) no comprobaba adecuadamente los caracteres en todos los sitios, incluyendo el procesamiento de las opciones de la línea de comandos, lo que se podía usar para insertar cabeceras HTTP adicionales en una petición.

Para Debian GNU/Linux 2.2/potato esto se ha corregido en la versión 2.8.3-1.1 del paquete lynx y en la versión 2.8.3.1-1.1 del paquete lynx-ssl.

Para Debian GNU/Linux 3.0/woody esto se ha corregido en la versión 2.8.4.1b-3.2 del paquete lynx y en la versión 1:2.8.4.1b-3.1 del paquete lynx-ssl.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.3.1.orig.tar.gz
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.3.1-1.1.dsc
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.3-1.1.dsc
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.3.orig.tar.gz
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.3-1.1.diff.gz
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.3.1-1.1.diff.gz
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.3.1-1.1_alpha.deb
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.3-1.1_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.3.1-1.1_arm.deb
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.3-1.1_arm.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.3-1.1_i386.deb
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.3.1-1.1_i386.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.3-1.1_m68k.deb
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.3.1-1.1_m68k.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.3.1-1.1_powerpc.deb
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.3-1.1_powerpc.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.3-1.1_sparc.deb
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.3.1-1.1_sparc.deb

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b.orig.tar.gz
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.4.1b-3.2.diff.gz
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.1.dsc
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.4.1b-3.2.dsc
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.1.diff.gz
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.4.1b-3.2_alpha.deb
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.1_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.4.1b-3.2_arm.deb
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.1_arm.deb
hppa (HP PA RISC):
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.4.1b-3.2_hppa.deb
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.1_hppa.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.1_i386.deb
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.4.1b-3.2_i386.deb
ia64 (Intel ia64):
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.4.1b-3.2_ia64.deb
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.1_ia64.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.4.1b-3.2_m68k.deb
mips (MIPS (Big Endian)):
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.1_mips.deb
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.4.1b-3.2_mips.deb
mipsel (MIPS (Little Endian)):
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.4.1b-3.2_mipsel.deb
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.1_mipsel.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.1_powerpc.deb
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.4.1b-3.2_powerpc.deb
s390 (IBM S/390):
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.4.1b-3.2_s390.deb
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.1_s390.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.1_sparc.deb
http://security.debian.org/pool/updates/main/l/lynx/lynx_2.8.4.1b-3.2_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.