[SEGURANCA][DSA-1002-1] webcalendar (várias vulnerabilidades)

To: debian-news-portuguese@lists.debian.org
Subject: [SEGURANCA][DSA-1002-1] webcalendar (várias vulnerabilidades)
From: marcocarvalho89@yahoo.com.br (Marco Carvalho)
Date: Fri, 17 Mar 2006 19:33:40 -0300
Message-id: <[🔎] 20060317223340.GA12728@localhost.localdomain>
Reply-to: debian-user-portuguese@lists.debian.org

--------------------------------------------------------------------------
Alerta de Segurança Debian DSA-1002-1                  security@debian.org
http://www.debian.org/security/2006/dsa-1002
15 de Março de 2006                 http://www.debian.org/security/faq
--------------------------------------------------------------------------
Essa é uma tradução do DSA (Debian Security Advisory - Alerta de Segurança
Debian) que é enviado para a lista [1]debian-security-announce e, por esse
motivo, há um atraso entre o anúncio original em inglês e esta tradução.
Caso queira receber os alertas em inglês, [2]inscreva-se na lista.

1.http://lists.debian.org/debian-security-announce
2. Envie um e-mail para debian-security-announce-request@lists.debian.org
   e coloque no campo assunto a palavra "subscribe".
--------------------------------------------------------------------------
Vulnerabilidade  : várias vulnerabilidades
CVE ID           : [3]CVE-2005-3949, [4]CVE-2005-3961, [5]CVE-2005-3982, 

Informações adicionais:
	
Vários problemas relacionados à segurança foram descobertos no webcalendar,
um calendário multiusuário baseado em PHP. O [1]projeto Common Vulnerabilities
and Exposures identificou as seguintes vulnerabilidades:

CVE-2005-3949
    Múltiplas vulnerabilidades de injeção SQL permitem que atacantes remotos
    executem comandos SQL arbitrários.
CVE-2005-3961
    Falta de limpeza na entrada permite que um atacante sobrescreva arquivos
    locais.
CVE-2005-3982
    Uma vulnerabilidade de injeção de CRLF permite que atacantes remotos
    modifiquem cabeçalhos HTTP e conduzam ataques de divisão ("splitting") de
    resposta HTTP.

A antiga distribuição estável ("woody") não contém o pacote webcalendar.

Para a distribuição estável ("sarge") estes problemas foram corrigidos na
versão 0.9.45-4sarge3.

Para a distribuição instável ("sid") estes problemas foram corrigidos na
versão 1.0.2-1.

Recomendamos que você atualize seu pacote webcalendar.

Corrigido em:
	
Debian GNU/Linux 3.1 (sarge)

Fonte:
  http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45-4sarge3.dsc
  http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45-4sarge3.diff.gz
  http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45.orig.tar.gz
Componente independente de arquitetura:
  http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45-4sarge3_all.deb

Checksums MD5 dos arquivos listados estão disponíveis no [6]alerta original.




3.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3949
4.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3961
5.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3982
6.http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00082.html

--

        Marco Carvalho (macs) <marcocarvalho89@yahoo.com.br>
 *******************************************************************
   .''`.   Debian Weekly News: <http://www.debian.org/News/weekly>
  : :'  :  Debian BR.........: <http://debianbrasil.org>
  `. `'`        Equipe de Imprensa e Traduções do Debian-BR
    `-                 O que você quer saber hoje?

Attachment: signature.asc
Description: Digital signature

Reply to:

Prev by Date: [SEGURANCA][DSA-1001-1] crossfire (estouro de buffer)
Next by Date: Debian Weekly News - 14 de Março de 2006
Previous by thread: [SEGURANCA][DSA-1001-1] crossfire (estouro de buffer)
Next by thread: Debian Weekly News - 14 de Março de 2006
Index(es):
- Date
- Thread