-------------------------------------------------------------------------- Aviso de seguridad de Debian DSA 892-1 security@debian.org http://www.debian.org/security/ Martin Schulze 10 de noviembre de 2005 http://www.debian.org/security/faq -------------------------------------------------------------------------- Paquete : awstats Vulnerabilidad : entrada no saneada Ámbito : remoto Sólo en Debian : no Id. de CVE : CVE-2005-1527 Errores Debian : 322591 334833 336137 Peter Vreugdenhil descubrió que awstats, un analizador de registros del servidor web, pasaba los datos suministrados por el usuario a una función eval(), permitiendo así que los atacantes remotos pudiesen ejecutar órdenes arbitrarias de Perl. La distribución estable anterior (woody) no se ve afectada por este problema. Para la distribución estable (sarge), este problema se ha corregido en la versión 6.4-1sarge1. Para la distribución inestable (sid), este problema se ha corregido en la versión 6.4-1.1. Le recomendamos que actualice el paquete awstats. Instrucciones de actualización ------------------------------ wget url obtiene el archivo. dpkg -i archivo.deb instala el archivo indicado. Si va a usar el gestor de paquetes apt-get, emplee la línea para sources.list que se proporciona al final del aviso: apt-get update actualiza la base de datos interna apt-get upgrade instala los paquetes corregidos Puede usar una actualización automatizada, añadiendo los recursos del final del aviso para la configuración adecuada. Debian GNU/Linux 3.1 alias sarge -------------------------------- Archivos con el código fuente: http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4.orig.tar.gz Tamaño y suma MD5: 918435 056e6fb0c7351b17fe5bbbe0aa1297b1 http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge1.diff.gz Tamaño y suma MD5: 18257 c4efeefcab00fdda3c53e74e32cc0aab http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge1.dsc Tamaño y suma MD5: 589 82449cbf170952a0e5d31648c7943656 Componentes independientes de la arquitectura: http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge1_all.deb Tamaño y suma MD5: 728430 ed12fcb3a2a00b4f440dc9091a2ca78d Estos archivos probablemente se pasen a la distribución estable en su próxima revisión. --------------------------------------------------------------------- Para apt-get: deb http://security.debian.org/ stable/updates main Para dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main Lista de correo: debian-security-announce@lists.debian.org Información del paquete: 'apt-cache show <paquete>' y http://packages.debian.org/<paquete> -- Juan Manuel Garcia Molina Debian GNU/Linux Developer juanma@debian.org http://www.debian.org
Attachment:
pgpNiB6nwzdaW.pgp
Description: PGP signature