[RFR] wml://security/2009/dsa-1738
Adjunto esta traducción para su revisión.
Saludos,
Enrique
#use wml::debian::translation-check translation="1.1" maintainer="cgarcia"
<define-tag description>acceso a fichero arbitrario</define-tag>
<define-tag moreinfo>
<p>David Kierznowski ha descubierto que libcurl, una librería para la
transferencia multiprotocolo de ficheros, no pregunta la localización del
nuevo destino cuando está configurada para redireccionar URL automáticamente.
Como libcurl también soporta (dependiendo de la configuración) URL del tipo
file:// y scp://, un servidor que no sea de confianza puede usar esto para
exponer ficheros locales, sobreescribir ficheros locales o incluso ejecutar
código arbitrario usando una redirección URL malintencionada.</p>
<p>Esta actualización añade una nueva opción llamada CURLOPT_REDIR_PROTOCOLS
que por omisión no incluye los protocolos scp y file.</p>
<p>Para la anterior distribución estable (etch) este problema se ha resuelto
en la versión 7.15.5-1etch2.</p>
<p>Para la distribución estable (lenny) este problema se ha resuelto en la
versión 7.18.2-8lenny2.</p>
<p>Para la distribución inestable (sid) este problema se ha resuelto en la
versión 7.18.2-8.1.</p>
<p>Se recomienda actualizar los paquetes curl.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1738.data"
# $Id: dsa-1738.wml,v 1.1 2009-03-11 17:01:15 nion Exp $
Reply to: