Aviso de seguridad de Debian

DSA-1177-1 usermin -- error de programación

Fecha del informe:

15 de sep de 2006

Paquetes afectados:

usermin

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 374609.
En el diccionario CVE de Mitre: CVE-2006-4246.

Información adicional:

Hendrik Weimer descubrió que era posible que un usuario normal desactivara el acceso por shell a la cuenta de root mediante usermin, una herramienta de administración web.

Para la distribución estable (sarge), este problema se ha corregido en la versión 1.110-3.1.

En la distribución del autor, este problema se ha corregido en la versión 1.220.

Le recomendamos que actualice el paquete usermin.

Arreglado en:

Debian GNU/Linux 3.1 (sarge)

Fuentes:: http://security.debian.org/pool/updates/main/u/usermin/usermin_1.110-3.1.dsc; http://security.debian.org/pool/updates/main/u/usermin/usermin_1.110-3.1.diff.gz; http://security.debian.org/pool/updates/main/u/usermin/usermin_1.110.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/pool/updates/main/u/usermin/usermin-at_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-changepass_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-chfn_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-commands_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-cron_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-cshrc_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-fetchmail_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-forward_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-gnupg_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-htaccess_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-htpasswd_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-mailbox_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-man_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-mysql_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-plan_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-postgresql_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-proc_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-procmail_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-quota_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-schedule_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-shell_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-spamassassin_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-ssh_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-tunnel_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-updown_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin-usermount_1.110-3.1_all.deb; http://security.debian.org/pool/updates/main/u/usermin/usermin_1.110-3.1_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.