Aviso de seguridad de Debian

DSA-634-1 hylafax -- validación débil de nombre de máquina y de usuario

Fecha del informe:

11 de ene de 2005

Paquetes afectados:

hylafax

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2004-1182.

Información adicional:

Patrice Fournier descubrió una vulnerabilidad en el subsistema de autorización de hylafax, un flexible sistema de fax cliente/servidor. Un usuario local o remoto que averiguase el contenido de la base de datos hosts.hfaxd podría obtener acceso no autorizado al sistema de fax.

Algunas instalaciones de hylafax podían llegar a utilizar la debilidad en la validación de nombre de máquina y de usuario para usos autorizados. Por ejemplo, las entradas de hosts.hfaxd que pueden ser frecuentes:

  192.168.0
  usuario:uid:clave:claveadmin
  usuario@maquina

Después de actualizar, estas entradas se tendrían que modificar para seguir funcionando. Respectivamente, las entradas correctas deberían ser:

  192.168.0.[0-9]+
  usuario@:uid:clave:claveadmin
  usuario@maquina

A no ser que haya coincidencia de «usuario» con «otrousuario» y «máquina» con «nombredemáquina» que se desee, el formato adecuado de esas entradas deberían incluir el delimitador y marcadores como estos:

  @192.168.0.[0-9]+$
  ^usuario@:uid:clave:claveadmin
  ^usuario@maquina$

Para la distribución estable (woody), este problema se ha corregido en la versión 4.1.1-3.1.

Para la distribución inestable (sid), este problema se ha corregido en la versión 4.2.1-1.

Le recomendamos que actualice el paquete hylafax.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax_4.1.1-3.1.dsc; http://security.debian.org/pool/updates/main/h/hylafax/hylafax_4.1.1-3.1.diff.gz; http://security.debian.org/pool/updates/main/h/hylafax/hylafax_4.1.1.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-doc_4.1.1-3.1_all.deb
Alpha:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_alpha.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_arm.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_i386.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_ia64.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_hppa.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_m68k.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_powerpc.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_s390.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_sparc.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.