-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 294-1 security@debian.org http://www.debian.org/security/ Martin Schulze 23 de abril de 2003 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : gkrellm-newsticker Vulnerabilidade : ausência de caractere de escape, análise incompleta Tipo de Problema : remoto Específico ao Debian : não Id CVE : CAN-2003-0205 CAN-2003-0206 Brian Campbell descobriu dois problemas relacionados a segurança no gkrellm-newsticker, um plugin para o programa de monitoração de sistemas gkrellm, que provê um registro de notícias a partir de RDF "alimentadores". O projeto Common Vulnerabilities and Exposures identificou os seguintes problemas: CAN-2003-0205 Este pode iniciar um navegador escolhido pelo usuário quando o título do registrador é clicado ao usar a URI dada pelo "alimentador". De qualquer forma, caracteres especiais não são adequadamente ignorados, habilitando um "alimentador" malicioso a executar comandos shells arbitrários na máquina cliente. CAN-2003-0206 Também, derruba todo o sistema gkrellm em alimentadores onde o link ou elementos do título não estão em uma única linha. Um servidor malicioso pode causar uma negação de serviço. Na atual distribuição estável (woody), este problema foi corrigido na versão 0.3-3.1 A antiga distribuição estável (potato) não é afetada, uma vez que não contém pacotes gkrellm-newsticker. Na distribuição instável (sid), este problema ainda não foi corrigido. Nós recomendamos que você atualize seus pacotes gkrellm-newsticker. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce --------------------------------------------------------------------------
Attachment:
pgpWXg2E3mGAY.pgp
Description: PGP signature