-------------------------------------------------------------------------- Aviso de seguridad de Debian DSA 901-1 security@debian.org http://www.debian.org/security/ Martin Schulze 19 de noviembre de 2005 http://www.debian.org/security/faq -------------------------------------------------------------------------- Paquete : gnump3d Vulnerabilidad : error de programación Ámbito : remoto Sólo en Debian : no Ids. de CVE : CVE-2005-3349 CVE-2005-3355 Se han descubierto varias vulnerabilidades en gnump3d, un servidor de streaming para archivos MP3 y OGG. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas: CVE-2005-3349 Ludwig Nussel descubrió que se creaban varios archivos temporales con nombres predecibles de una manera insegura, lo que permitía que atacantes locales provocasen ataques de enlaces simbólicos. CVE-2005-3355 Ludwig Nussel descubrió que el parámetro «theme» de las peticiones HTTP se podía usar para hacer una navegación mediante rutas. La distribución estable anterior (woody) no contiene el paquete gnump3d. Para la distribución estable (sarge), estos problemas se han corregido en la versión 2.9.3-1sarge3. Para la distribución inestable (sid), estos problemas se han corregido en la versión 2.9.8-1. Le recomendamos que actualice el paquete gnump3. Instrucciones de actualización ------------------------------ wget url obtiene el archivo. dpkg -i archivo.deb instala el archivo indicado. Si va a usar el gestor de paquetes apt-get, emplee la línea para sources.list que se proporciona al final del aviso: apt-get update actualiza la base de datos interna apt-get upgrade instala los paquetes corregidos Puede usar una actualización automatizada, añadiendo los recursos del final del aviso para la configuración adecuada. Debian GNU/Linux 3.1 alias sarge -------------------------------- Archivos con el código fuente: http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3-1sarge3.dsc Tamaño y suma MD5: 575 49b982ffa8bc0981063c22e43e37d8e0 http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3-1sarge3.diff.gz Tamaño y suma MD5: 16233 c719d2a258db442db1523c8f5c06560c http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3.orig.tar.gz Tamaño y suma MD5: 616250 1a0d6a10f6ac2354e1f8c6000665f299 Componentes independientes de la arquitectura: http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3-1sarge3_all.deb Tamaño y suma MD5: 603396 87d0c50400f7cd2d96e4c42982102f7e Estos archivos probablemente se pasen a la distribución estable en su próxima revisión. --------------------------------------------------------------------- Para apt-get: deb http://security.debian.org/ stable/updates main Para dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main Lista de correo: debian-security-announce@lists.debian.org Información del paquete: 'apt-cache show <paquete>' y http://packages.debian.org/<paquete> -- Juan Manuel Garcia Molina Debian GNU/Linux Developer juanma@debian.org http://www.debian.org
Attachment:
pgpf30mfJNzvh.pgp
Description: PGP signature