--------------------------------------------------------------------------
Aviso de seguridad de Debian DSA 901-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
19 de noviembre de 2005 http://www.debian.org/security/faq
--------------------------------------------------------------------------
Paquete : gnump3d
Vulnerabilidad : error de programación
Ámbito : remoto
Sólo en Debian : no
Ids. de CVE : CVE-2005-3349 CVE-2005-3355
Se han descubierto varias vulnerabilidades en gnump3d, un servidor de
streaming para archivos MP3 y OGG. El proyecto Common Vulnerabilities and
Exposures identifica los siguientes problemas:
CVE-2005-3349
Ludwig Nussel descubrió que se creaban varios archivos temporales con
nombres predecibles de una manera insegura, lo que permitía que
atacantes locales provocasen ataques de enlaces simbólicos.
CVE-2005-3355
Ludwig Nussel descubrió que el parámetro «theme» de las peticiones HTTP
se podía usar para hacer una navegación mediante rutas.
La distribución estable anterior (woody) no contiene el paquete gnump3d.
Para la distribución estable (sarge), estos problemas se han corregido en
la versión 2.9.3-1sarge3.
Para la distribución inestable (sid), estos problemas se han corregido en
la versión 2.9.8-1.
Le recomendamos que actualice el paquete gnump3.
Instrucciones de actualización
------------------------------
wget url
obtiene el archivo.
dpkg -i archivo.deb
instala el archivo indicado.
Si va a usar el gestor de paquetes apt-get, emplee la línea
para sources.list que se proporciona al final del aviso:
apt-get update
actualiza la base de datos interna
apt-get upgrade
instala los paquetes corregidos
Puede usar una actualización automatizada, añadiendo los
recursos del final del aviso para la configuración adecuada.
Debian GNU/Linux 3.1 alias sarge
--------------------------------
Archivos con el código fuente:
http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3-1sarge3.dsc
Tamaño y suma MD5: 575 49b982ffa8bc0981063c22e43e37d8e0
http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3-1sarge3.diff.gz
Tamaño y suma MD5: 16233 c719d2a258db442db1523c8f5c06560c
http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3.orig.tar.gz
Tamaño y suma MD5: 616250 1a0d6a10f6ac2354e1f8c6000665f299
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3-1sarge3_all.deb
Tamaño y suma MD5: 603396 87d0c50400f7cd2d96e4c42982102f7e
Estos archivos probablemente se pasen a la distribución estable en
su próxima revisión.
---------------------------------------------------------------------
Para apt-get:
deb http://security.debian.org/ stable/updates main
Para dpkg-ftp:
ftp://security.debian.org/debian-security dists/stable/updates/main
Lista de correo:
debian-security-announce@lists.debian.org
Información del paquete:
'apt-cache show <paquete>' y http://packages.debian.org/<paquete>
--
Juan Manuel Garcia Molina
Debian GNU/Linux Developer
juanma@debian.org http://www.debian.org
Attachment:
pgpf30mfJNzvh.pgp
Description: PGP signature