[Segurança] [DSA 158-1] Novo pacote gaim corrige execução arbitrária de programa

To: d-n-p <debian-news-portuguese@lists.debian.org>
Subject: [Segurança] [DSA 158-1] Novo pacote gaim corrige execução arbitrária de programa
From: Michelle Ribeiro <michelle@focalinux.org>
Date: Tue, 27 Aug 2002 11:29:08 +0000
Message-id: <[🔎] 20020827112908.45fd15fa.michelle@focalinux.org>

--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 144-1                   security@debian.org
http://www.debian.org/security/                             Martin Schulze
27 de agosto de 2002			http://www.debian.org/security/faq
--------------------------------------------------------------------------


Pacote			: gaim
Vulnerabilidade		: execução arbitrária de programas
Tipo de Problema	: remoto
Específico ao Debian	: não

Os desenvolvedores do Gaim, um cliente de mensagens instantâneas que
combina várias redes diferentes, encontraram um vulnerabilidade
no código de tratamento de hyperlink. O comando do navegador 'Manual'
passa uma string não confiável ao shell, sem escape ou aspas confiáveis,
permitindo que um atacante execute comandos arbitrários na máquina do 
usuário. Infelizmente, o Gaim não exibe o hyperlink antes do usuário 
clicar nele. Usuários que usam outros comandos de navegadores integrados
não estão vulneráveis. 

Esse problema foi corrigdo na versão 0.58-2.2 para a atual distribuição
estável (woody) e na versão 0.59.1-2 para a distribuição instável (sid).
A antiga distribuição (potato) não foi afetada uma vez que não contém
o programa Gaim.

A versão corrigida do Gaim não passa mais o comando do usuário do navegador 
'Manual' ao shell. Comandos que contêm %s entre aspas precisaram ser corrigidos, a 
até que não contenham mais aspas. O comando do navegador 'Manual'
pode ser editado no painel "General" na caixa de diálogo "Preferences"
ou no menu "Tools", opção "Preferences.

Nós recomendamos que você atualize seu pacote gaim imediatamente. 

--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista 
debian-security-announce@lists.debian.org. Caso queira receber os 
alertas em inglês e minutos depois de sua publicação, inscreva-se na 
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------

-- 
Michelle Ribeiro

Attachment: pgpTjRcPPFgm7.pgp
Description: PGP signature

Reply to:

Prev by Date: [Segurança] [DSA 147-2] Novo pacote mailman corrige problema com cross-site scripting
Next by Date: Debian Weekly News - 27 de Agosto de 2002
Previous by thread: [Segurança] [DSA 147-2] Novo pacote mailman corrige problema com cross-site scripting
Next by thread: Debian Weekly News - 27 de Agosto de 2002
Index(es):
- Date
- Thread