Aviso de seguridad de Debian
DSA-294-1 gkrellm-newsticker -- pérdida del citado, analizador incompleto
- Fecha del informe:
- 23 de abr de 2003
- Paquetes afectados:
- gkrellm-newsticker
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 7414.
En el diccionario CVE de Mitre: CVE-2003-0205, CVE-2003-0206. - Información adicional:
-
Brian Campbell descubrió dos problemas relativos a la seguridad en gkrellm-newsticker, un plugin para el programa monitor del sistema gkrellm, que proporciona un teletipo de noticias desde RDF. El proyecto CVE (Vulnerabilidades y Exposiciones Comunes) identificó los siguientes problemas:
- CAN-2003-0205
- Se podía lanzar un navegador web a elección del usuario cuando se pulsaba en el título del teletipo usando la URI dada por el origen. Sin embargo, no se escapaba adecuadamente de los caracteres de la shell, permitiendo a un origen malvado ejecutar comandos arbitrarios de la shell sobre las máquinas cliente.
- CAN-2003-0206
- Se caía el sistema gkrellm al completo con los orígines en que los enlaces o los títulos de los elementos no ocupaban una línea exacta. Un servidor malicioso podía conseguir una denegación de servicio.
Para la distribución estable (woody), estos problemas se han corregido en la versión 0.3-3.1.
La distribución estable anterior (potato) no se ve afectada porque no contenía el paquete gkrellm-newsticker.
Para la distribución inestable (sid), estos problemas aún no se han corregido.
Le recomendamos que actualice el paquete gkrellm-newsticker.
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.dsc
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.diff.gz
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.