-------------------------------------------------------------------------- Aviso de seguridad de Debian DSA 808-1 security@debian.org http://www.debian.org/security/ Martin Schulze 12 de septiembre de 2005 http://www.debian.org/security/faq -------------------------------------------------------------------------- Paquete : tdiary Vulnerabilidad : error de diseño Ámbito : remoto Sólo en Debian : no Id. de CVE : CAN-2005-2411 El equipo de desarrollo de tdiary ha descubierto una vulnerabilidad de falsificación de solicitud del sitio (CSRF) en tdiary, un weblog de nueva generación, del que podían sacar provecho los atacantes remotos para alterar la información de los usuarios. La distribución estable anterior (woody) no contiene los paquetes de tdiary. Para la distribución estable (sarge), este problema se ha corregido en la versión 2.0.1-1sarge1. Para la distribución inestable (sid), este problema se ha corregido en la versión 2.0.2-1. Le recomendamos que actualice los paquetes de tdiary. Instrucciones de actualización ------------------------------ wget url obtiene el archivo. dpkg -i archivo.deb instala el archivo indicado. Si va a usar el gestor de paquetes apt-get, emplee la línea para sources.list que se proporciona al final del aviso: apt-get update actualiza la base de datos interna apt-get upgrade instala los paquetes corregidos Puede usar una actualización automatizada, añadiendo los recursos del final del aviso para la configuración adecuada. Debian GNU/Linux 3.1 alias sarge -------------------------------- Archivos con el código fuente: http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1.dsc Tamaño y suma MD5: 698 725575945a14b3ff9ff776e4254b6e54 http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1.diff.gz Tamaño y suma MD5: 24611 df8afbbc86e0f1a9f365a1b8271e7a12 http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1.orig.tar.gz Tamaño y suma MD5: 1840990 eaec0d3c00e1605d5cefad4119718183 Componentes independientes de la arquitectura: http://security.debian.org/pool/updates/main/t/tdiary/tdiary-contrib_2.0.1-1sarge1_all.deb Tamaño y suma MD5: 109264 b3de14edff72c292002d68b4f6c5234c http://security.debian.org/pool/updates/main/t/tdiary/tdiary-mode_2.0.1-1sarge1_all.deb Tamaño y suma MD5: 27768 632e5ed6bb82fce0d1f787aea0b25cf4 http://security.debian.org/pool/updates/main/t/tdiary/tdiary-plugin_2.0.1-1sarge1_all.deb Tamaño y suma MD5: 155066 6100fce2dbe0a8acc5a365766b2b8b84 http://security.debian.org/pool/updates/main/t/tdiary/tdiary-theme_2.0.1-1sarge1_all.deb Tamaño y suma MD5: 1506732 6a77d569ef301bc299ee4fe8e4f929f5 http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1_all.deb Tamaño y suma MD5: 171434 b31846dc0632acdb13787a5ec28e8bc5 Estos archivos probablemente se pasen a la distribución estable en su próxima revisión. --------------------------------------------------------------------- Para apt-get: deb http://security.debian.org/ stable/updates main Para dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main Lista de correo: debian-security-announce@lists.debian.org Información del paquete: 'apt-cache show <paquete>' y http://packages.debian.org/<paquete> -- Juan Manuel Garcia Molina Debian GNU/Linux Developer juanma@debian.org http://www.debian.org
Attachment:
pgpOygIzUCx0R.pgp
Description: PGP signature