-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 144-1 security@debian.org http://www.debian.org/security/ Martin Schulze 27 de agosto de 2002 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : gaim Vulnerabilidade : execução arbitrária de programas Tipo de Problema : remoto Específico ao Debian : não Os desenvolvedores do Gaim, um cliente de mensagens instantâneas que combina várias redes diferentes, encontraram um vulnerabilidade no código de tratamento de hyperlink. O comando do navegador 'Manual' passa uma string não confiável ao shell, sem escape ou aspas confiáveis, permitindo que um atacante execute comandos arbitrários na máquina do usuário. Infelizmente, o Gaim não exibe o hyperlink antes do usuário clicar nele. Usuários que usam outros comandos de navegadores integrados não estão vulneráveis. Esse problema foi corrigdo na versão 0.58-2.2 para a atual distribuição estável (woody) e na versão 0.59.1-2 para a distribuição instável (sid). A antiga distribuição (potato) não foi afetada uma vez que não contém o programa Gaim. A versão corrigida do Gaim não passa mais o comando do usuário do navegador 'Manual' ao shell. Comandos que contêm %s entre aspas precisaram ser corrigidos, a até que não contenham mais aspas. O comando do navegador 'Manual' pode ser editado no painel "General" na caixa de diálogo "Preferences" ou no menu "Tools", opção "Preferences. Nós recomendamos que você atualize seu pacote gaim imediatamente. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce -------------------------------------------------------------------------- -- Michelle Ribeiro
Attachment:
pgpTjRcPPFgm7.pgp
Description: PGP signature