[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[Segurança] [DSA 319-1] Novos pacotes webmin eliminam falsificação de ID de sessão



--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 319-1                   security@debian.org
http://www.debian.org/security/                             Matt Zimmerman 
13 de junho de 2003                     http://www.debian.org/security/faq
--------------------------------------------------------------------------

Pacote                  : webmin
Vulnerabilidade         : falsificação de ID de sessão
Tipo de Problema        : remoto
Específico ao Debian    : não
Id CVE                  : CAN-2003-0101

O script miniserv.pl do pacote webmin não trata adequadamente
meta-caracteres, como quebras de linha e enters, em strings com
codificação Base64 usadas na autenticação Basic. Esta vulnerabilidade
permite que atacantes remotos falsifiquem o Id de sessão e atráves disso
obtenham os privilégios de root.

Na atual distribuição estável (woody), este problema foi corrigido na
versão 0.94-7woody1.

A antiga distribuição estável (potato) não contém pacotes webmin.

Na distribuição instável (sid), este problema foi corrigido na versão
1.070-1.

Nós recomendamos que você atualize seus pacotes webmin.

--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista 
debian-security-announce@lists.debian.org. Caso queira receber os 
alertas em inglês e minutos depois de sua publicação, inscreva-se na 
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------

Attachment: pgpj_NCfoDe2B.pgp
Description: PGP signature


Reply to: