-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 144-1 security@debian.org http://www.debian.org/security/ Martin Schulze 06 de Agosto de 2002 -------------------------------------------------------------------------- Pacote : wwwoffle Vulnerabilidade : tratamento inadequado de entrada Tipo de Problema : local Específico ao Debian : não Id CVE : CAN-2002-0818 Um problema com o wwwoffle foi descoberto. O proxy web não trata entrada de dados com a configuração Content-Length negativa adequadamente o que faz com que o processo filho seja derrubado. Nesse momento, não está claro como isso pode levar a uma exploração da vulnerabilidade; no entanto, é melhor prevenir do que remediar, então aqui está uma atualização. Adicionalmente, na versão woody senhas vazias serão tratadas como incorretas na tentativa de autenticação. Nós também substituímos CanonicaliseHost() pela última rotina do 2.7d, fornecida pelo autor. Isso acaba com endereços IP IPv6 mal formados em URLs que causam problemas (sobrescrever memória, potenciais exploits). Esse problema foi corrigido na versão 2.5c-10.4 para a antiga distribuição estável (potato), na versão 2.7a-1.2 para a atual distribuição estável (woody) e na versão 2.7d-1 para a distribuição instável (sid). Nós recomendamos que você atualize seus pacotes wwwoffle.
Attachment:
pgpW3cYvawWf9.pgp
Description: PGP signature