-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 319-1 security@debian.org http://www.debian.org/security/ Matt Zimmerman 13 de junho de 2003 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : webmin Vulnerabilidade : falsificação de ID de sessão Tipo de Problema : remoto Específico ao Debian : não Id CVE : CAN-2003-0101 O script miniserv.pl do pacote webmin não trata adequadamente meta-caracteres, como quebras de linha e enters, em strings com codificação Base64 usadas na autenticação Basic. Esta vulnerabilidade permite que atacantes remotos falsifiquem o Id de sessão e atráves disso obtenham os privilégios de root. Na atual distribuição estável (woody), este problema foi corrigido na versão 0.94-7woody1. A antiga distribuição estável (potato) não contém pacotes webmin. Na distribuição instável (sid), este problema foi corrigido na versão 1.070-1. Nós recomendamos que você atualize seus pacotes webmin. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce --------------------------------------------------------------------------
Attachment:
pgpj_NCfoDe2B.pgp
Description: PGP signature