Alerta de Segurança Debian
DSA-294-1 gkrellm-newsticker -- ausência de caractere de escape, análise incompleta
- Data do Alerta:
- 23 Abr 2003
- Pacotes Afetados:
- gkrellm-newsticker
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 7414.
No dicionário CVE do Mitre: CVE-2003-0205, CVE-2003-0206. - Informações adicionais:
-
Brian Campbell descobriu dois problemas relacionados a segurança no gkrellm-newsticker, um plugin para o programa de monitoração de sistemas gkrellm, que provê um registro de notícias a partir de RDF "alimentadores". O projeto Common Vulnerabilities and Exposures identificou os seguintes problemas:
- CAN-2003-0205
- Ele pode iniciar um navegador escolhido pelo usuário quando o título do registrador é clicado ao usar a URI dada pelo "alimentador". De qualquer forma, caracteres especiais não são adequadamente ignorados, habilitando um "alimentador" malicioso a executar comandos shells arbitrários na máquina cliente.
- CAN-2003-0206
- Ele derruba todo o sistema gkrellm em alimentadores onde o link ou elementos do título não estão em uma única linha. Um servidor malicioso pode causar uma negação de serviço.
Na atual distribuição estável (woody), este problema foi corrigido na versão 0.3-3.1
A antiga distribuição estável (potato) não é afetada, uma vez que não contém pacotes gkrellm-newsticker.
Na distribuição instável (sid), este problema ainda não foi corrigido.
Nós recomendamos que você atualize seus pacotes gkrellm-newsticker.
- Corrigido em:
-
Debian GNU/Linux 3.0 (woody)
- Fonte:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.dsc
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.diff.gz
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_sparc.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.