Omitir navegación rápida

• Acerca de Debian
• Noticias
• Cómo obtener Debian
• Soporte
• Rincón de los desarrolladores
• Mapa del sitio
• Búsqueda

Aviso de seguridad de Debian

DSA-294-1 gkrellm-newsticker -- pérdida del citado, analizador incompleto

Fecha del informe:

23 de abr de 2003

Paquetes afectados:

gkrellm-newsticker

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 7414.
En el diccionario CVE de Mitre: CVE-2003-0205, CVE-2003-0206.

Información adicional:

Brian Campbell descubrió dos problemas relativos a la seguridad en gkrellm-newsticker, un plugin para el programa monitor del sistema gkrellm, que proporciona un teletipo de noticias desde RDF. El proyecto CVE (Vulnerabilidades y Exposiciones Comunes) identificó los siguientes problemas:

CAN-2003-0205

Se podía lanzar un navegador web a elección del usuario cuando se pulsaba en el título del teletipo usando la URI dada por el origen. Sin embargo, no se escapaba adecuadamente de los caracteres de la shell, permitiendo a un origen malvado ejecutar comandos arbitrarios de la shell sobre las máquinas cliente.

CAN-2003-0206

Se caía el sistema gkrellm al completo con los orígines en que los enlaces o los títulos de los elementos no ocupaban una línea exacta. Un servidor malicioso podía conseguir una denegación de servicio.

Para la distribución estable (woody), estos problemas se han corregido en la versión 0.3-3.1.

La distribución estable anterior (potato) no se ve afectada porque no contenía el paquete gkrellm-newsticker.

Para la distribución inestable (sid), estos problemas aún no se han corregido.

Le recomendamos que actualice el paquete gkrellm-newsticker.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:

http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.dsc

http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.diff.gz

http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.

Esta página también está disponible en los siguientes idiomas:

dansk Deutsch English français 日本語 (Nihongo) Português Русский (Russkij) suomi svenska

Cómo modificar el idioma por defecto de los documentos