--------------------------------------------------------------------------
Aviso de seguridad de Debian DSA 808-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
12 de septiembre de 2005 http://www.debian.org/security/faq
--------------------------------------------------------------------------
Paquete : tdiary
Vulnerabilidad : error de diseño
Ámbito : remoto
Sólo en Debian : no
Id. de CVE : CAN-2005-2411
El equipo de desarrollo de tdiary ha descubierto una vulnerabilidad de
falsificación de solicitud del sitio (CSRF) en tdiary, un weblog de nueva
generación, del que podían sacar provecho los atacantes remotos para
alterar la información de los usuarios.
La distribución estable anterior (woody) no contiene los paquetes de
tdiary.
Para la distribución estable (sarge), este problema se ha corregido en la
versión 2.0.1-1sarge1.
Para la distribución inestable (sid), este problema se ha corregido en la
versión 2.0.2-1.
Le recomendamos que actualice los paquetes de tdiary.
Instrucciones de actualización
------------------------------
wget url
obtiene el archivo.
dpkg -i archivo.deb
instala el archivo indicado.
Si va a usar el gestor de paquetes apt-get, emplee la línea
para sources.list que se proporciona al final del aviso:
apt-get update
actualiza la base de datos interna
apt-get upgrade
instala los paquetes corregidos
Puede usar una actualización automatizada, añadiendo los
recursos del final del aviso para la configuración adecuada.
Debian GNU/Linux 3.1 alias sarge
--------------------------------
Archivos con el código fuente:
http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1.dsc
Tamaño y suma MD5: 698 725575945a14b3ff9ff776e4254b6e54
http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1.diff.gz
Tamaño y suma MD5: 24611 df8afbbc86e0f1a9f365a1b8271e7a12
http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1.orig.tar.gz
Tamaño y suma MD5: 1840990 eaec0d3c00e1605d5cefad4119718183
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/t/tdiary/tdiary-contrib_2.0.1-1sarge1_all.deb
Tamaño y suma MD5: 109264 b3de14edff72c292002d68b4f6c5234c
http://security.debian.org/pool/updates/main/t/tdiary/tdiary-mode_2.0.1-1sarge1_all.deb
Tamaño y suma MD5: 27768 632e5ed6bb82fce0d1f787aea0b25cf4
http://security.debian.org/pool/updates/main/t/tdiary/tdiary-plugin_2.0.1-1sarge1_all.deb
Tamaño y suma MD5: 155066 6100fce2dbe0a8acc5a365766b2b8b84
http://security.debian.org/pool/updates/main/t/tdiary/tdiary-theme_2.0.1-1sarge1_all.deb
Tamaño y suma MD5: 1506732 6a77d569ef301bc299ee4fe8e4f929f5
http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1_all.deb
Tamaño y suma MD5: 171434 b31846dc0632acdb13787a5ec28e8bc5
Estos archivos probablemente se pasen a la distribución estable en
su próxima revisión.
---------------------------------------------------------------------
Para apt-get:
deb http://security.debian.org/ stable/updates main
Para dpkg-ftp:
ftp://security.debian.org/debian-security dists/stable/updates/main
Lista de correo:
debian-security-announce@lists.debian.org
Información del paquete:
'apt-cache show <paquete>' y http://packages.debian.org/<paquete>
--
Juan Manuel Garcia Molina
Debian GNU/Linux Developer
juanma@debian.org http://www.debian.org
Attachment:
pgpOygIzUCx0R.pgp
Description: PGP signature