[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[Segurança] [DSA 396-1] Novo pacote thttpd corrige escape de informação, DoS e execução arbitrária de código

--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 396-1                   security@debian.org
http://www.debian.org/security/                             Martin Schulze
29 de Outubro de 2003                   http://www.debian.org/security/faq
--------------------------------------------------------------------------

Pacote        		: thttpd
Vulnerabilidade  	: avaliação errônea, e falta de limpeza da entrada
Tipo de Problema   	: remoto
Específico ao Debian 	: não
Id do CVE         	: CAN-2002-1562 CAN-2003-0899

Várias vulnerabilidades foram descobertas no thttpd, um servidor pequeno 
de HTTP.

O projeto Vulnerabilidades e Exposições Comuns identificou as seguintes 
vulnerabilidades:

CAN-2002-1562: Escape de informação

  Marcus Breiing descobriu que se o httpd for usado para alojamento virtual,
  um atacante fornecendo um cabeçalho ``Host:'' especialmente trabalhado, 
  com um caminho no lugar do nome do host, o thttpd revelará informações 
  sobre o sistema do host. Então o atacante poderá acessar todo o disco.

CAN-2003-0899: Execução arbitrária de código

  Joel Soderberg e Christer Oberg descobriram um estouro remoto que permite
  a um atacante reescrever parcialmente o registro EBP e conseqüentemente 
  executar código de forma arbitraria.

Para a distribuição estável (woody) esses problemas foram corrigidos na versão
2.21b-11.2.

Para a distribuição instável (sid) esses problemas foram corrigidos na versão
2.23beta1-2.3.

Nós recomendamos que você atualize seu pacote thttpd imediatamente.
 
--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista 
debian-security-announce@lists.debian.org. Caso queira receber os 
alertas em inglês e minutos depois de sua publicação, inscreva-se na 
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------
	
        Henrique Pedroni Neto - kirkham <henrique@ital.org.br>
 *******************************************************************
   .''`.   Debian Weekly News: <http://www.debian.org/News/weekly>
  : :'  :  Debian BR.........: <http://debian-br.cipsga.org.br>   
  `. `'`        Equipe de Imprensa e Traduções do Debian-BR
    `-                 O que você quer saber hoje?
 *******************************************************************
     Se você tiver notícias interessantes para serem publicadas,
     envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.

Attachment: pgpfDxqWTAWPe.pgp
Description: PGP signature

Reply to: