-------------------------------------------------------------------------- Aviso de seguridad de Debian DSA 779-1 security@debian.org http://www.debian.org/security/ Martin Schulze 20 de agosto de 2005 http://www.debian.org/security/faq -------------------------------------------------------------------------- Paquete : mozilla-firefox Vulnerabilidad : varias Ámbito : remoto Sólo en Debian : no Id. de CVE : CAN-2005-2260 CAN-2005-2261 CAN-2005-2262 CAN-2005-2263 CAN-2005-2264 CAN-2005-2265 CAN-2005-2266 CAN-2005-2267 CAN-2005-2268 CAN-2005-2269 CAN-2005-2270=20 Id. de BugTraq : 14242 Debian Bug : 318061 Se han descubierto varios problemas en Mozilla Firefox, un navegador web ligero basado en Mozilla. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas: * CAN-2005-2260 La interfaz de usuario del navegador no distinguía adecuadamente entre los eventos generados por el usuario y los eventos sintetizados no fiables, que hacía más fácil para los atacantes remotos realizar acciones peligrosas que normalmente sólo las podría realizar manualmente el usuario. * CAN-2005-2261 Los guiones XML se podían ejecutar aunque Javascript estuviese desactivado. * CAN-2005-2262 Al usuario se le podía engañar para que ejecutara código JavaScript arbitrario usando un URL JavaScript como fondo de escritorio. * CAN-2005-2263 Era posible que un atacante remoto ejecutase una función de llamada en el contexto de otro dominio (por ejemplo, un marco). * CAN-2005-2264 Al abrir un enlace malicioso en la barra lateral, era posible que los atacantes remotos robasen información sensible. * CAN-2005-2265 Un olvido en el saneamiento de la entrada de InstallVersion.compareTo() podía provocar que la aplicación cayese. * CAN-2005-2266 Los atacantes remotos podían robar información sensible, como cookies y contraseñas, de sitios web accediendo a los datos de los marcos adyacentes. * CAN-2005-2267 Usando aplicaciones independietes como Flash y QuickTime para abrir un URL javascript:, era posible que un atacante remoto robase información sensible y, posiblemente, que ejecutase código arbitrario. * CAN-2005-2268 Era posible que un cuadro de diálogo Javascript hiciese spoofing sobre un sitio de confianza y facilitase los ataques de phishing. * CAN-2005-2269 Los atacantes remotos podían modificar las propiedades de ciertas etiquetas en los nodos DOM, lo que podría conducir a la ejecución de guiones o de código arbitrario. * CAN-2005-2270 La familia de navegadores Mozilla no clonaba adecuadamente los objetos base, lo que permitía que los atacantes remotos ejecutasen código arbitrario. La distribución estable anterior (woody) no se ve afectada por estos problemas. Para la distribución estable (sarge), estos problemas se han corregido en la versión 1.0.4-2sarge2. Para la distribución inestable (sid), estos problemas se han corregido en la versión 1.0.6-1. Le recomendamos que actualice los paquetes de Mozilla Firefox. Instrucciones de actualización ------------------------------ wget url obtiene el archivo. dpkg -i archivo.deb instala el archivo indicado. Si va a usar el gestor de paquetes apt-get, emplee la línea para sources.list que se proporciona al final: apt-get update actualiza la base de datos interna apt-get upgrade instala los paquetes corregidos Puede usar una actualización automatizada, añadiendo los recursos del pie para la configuración adecuada. Debian GNU/Linux 3.1 alias sarge -------------------------------- Archivos con el código fuente: http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2.dsc Tamaño y suma MD5: 1001 a5cf2fc8bc04662e6c192c15666011e4 http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2.diff.gz Tamaño y suma MD5: 285974 45e66f5ddde0d5c016fd15268da0e522 http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4.orig.tar.gz Tamaño y suma MD5: 40212297 8e4ba81ad02c7986446d4e54e978409d Arquitectura Alpha: http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_alpha.deb Tamaño y suma MD5: 11162656 4c8e579214a7bd4030303c6e33ec95f7 http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge2_alpha.deb Tamaño y suma MD5: 166698 027d4c7fddb899faff3ef9928864bb71 http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge2_alpha.deb Tamaño y suma MD5: 58528 2cff714da9bf45d1112621132f9fc940 Arquitectura AMD64: http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_amd64.deb Tamaño y suma MD5: 9396736 0a28ce7a8f6f783f16c201fc0daf6e0a http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge2_amd64.deb Tamaño y suma MD5: 161458 f9384873ae04a233001b37088abc510a http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge2_amd64.deb Tamaño y suma MD5: 57012 b09a95b0f7587001540398f1a5fce173 Arquitectura ARM: http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_arm.deb Tamaño y suma MD5: 8216228 9ca98872228db6ba98cf5123d642fc4b http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge2_arm.deb Tamaño y suma MD5: 152944 e0dc5a23ec713373753bcdf4e774c6f7 http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge2_arm.deb Tamaño y suma MD5: 52362 decd529d18ee714bcf2dbe5a82e53e37 Arquitectura Intel IA-32: http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_i386.deb Tamaño y suma MD5: 8887610 54e66239bff8195d09a76a8b0c65e096 http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge2_i386.deb Tamaño y suma MD5: 156664 e40d4387cdf627df5706e8a83f39640d http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge2_i386.deb Tamaño y suma MD5: 53906 3bc7062690df1334a92eeeae36819ea0 Arquitectura Intel IA-64: http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_ia64.deb Tamaño y suma MD5: 11615046 5b41f9a2f87e8bc9017c94cd5b24b180 http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge2_ia64.deb Tamaño y suma MD5: 167044 67972c83f83c325861b21ff6486519e9 http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge2_ia64.deb Tamaño y suma MD5: 61720 86ecafea4b179e1739ea521402d2e53b Arquitectura HP Precision: http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_hppa.deb Tamaño y suma MD5: 10264776 822d581c33a2628807fd955c1a72a66a http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge2_hppa.deb Tamaño y suma MD5: 164432 bf6da3e624453a2b9669f889e56c0a76 http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge2_hppa.deb Tamaño y suma MD5: 57512 aa8ee4e91cdead5a455a70c3608ba85e Arquitectura Motorola 680x0: http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_m68k.deb Tamaño y suma MD5: 8166186 6ae9415318e2156f420b1926936f28b6 http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge2_m68k.deb Tamaño y suma MD5: 155562 54c6667bd665e961b5bd45c2b44df43d http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge2_m68k.deb Tamaño y suma MD5: 53176 7c3a5484eb5d7155181653d25f927af1 Arquitectura Big endian MIPS: http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_mips.deb Tamaño y suma MD5: 9917724 bc430e659978ea1114dc38c0982a5917 http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge2_mips.deb Tamaño y suma MD5: 154452 84399a208bda215a7983bc2f35f30bd2 http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge2_mips.deb Tamaño y suma MD5: 54188 f6ea0de213759e27da7dc5c06c6a5e57 Arquitectura Little endian MIPS: http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_mipsel.deb Tamaño y suma MD5: 9802342 7e995ec5e6ee01d2ebc86d8e6e77d58a http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge2_mipsel.deb Tamaño y suma MD5: 154006 110274d1994cfe33062244e28ee04fd6 http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge2_mipsel.deb Tamaño y suma MD5: 54012 83610c805d36e4cea229cab960a06e32 Arquitectura PowerPC: http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_powerpc.deb Tamaño y suma MD5: 8560170 ac40dd1ebef525009556eac5f5dbeff3 http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge2_powerpc.deb Tamaño y suma MD5: 155046 ab31c9d12c13b9e63a4af5f8babcb6ad http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge2_powerpc.deb Tamaño y suma MD5: 56300 dab2c4918f383416a2418c2327988cc1 Arquitectura IBM S/390: http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_s390.deb Tamaño y suma MD5: 9635642 2514b2a60f87aedff82c0d5c29f53f25 http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge2_s390.deb Tamaño y suma MD5: 162076 2a3fe0537ebeebc2ea9f1a3aa952279c http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge2_s390.deb Tamaño y suma MD5: 56488 a914c752690bc8abcb6ad247d73dc041 Arquitectura Sun Sparc: http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_sparc.deb Tamaño y suma MD5: 8649734 60765d2a2480a9aa5b45d288a2d6df65 http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge2_sparc.deb Tamaño y suma MD5: 155298 9aab4bf6a3a7187243b60b044ed4d80c http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge2_sparc.deb Tamaño y suma MD5: 52734 5af8d15d55aa1d13e80776e1079c2007 Estos archivos probablemente se pasen a la distribución estable en la próxima actualización. --------------------------------------------------------------------- Para apt-get: deb http://security.debian.org/ stable/updates main Para dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main Lista de correo: debian-security-announce@lists.debian.org Info paquete: 'apt-cache show <paquete>' y http://packages.debian.org/<paquete> -- Juan Manuel Garcia Molina Debian GNU/Linux Developer juanma@debian.org http://www.debian.org
Attachment:
pgpWNKKZYNdAF.pgp
Description: PGP signature