1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
|
<define-tag description>Willkürliche Programmausführung</define-tag>
<define-tag moreinfo>
<p>Die Entwickler von Gaim, einem Instant-Messenger Client, der
mehrere verschiedene Netzwerke kombiniert, haben eine Verwundbarkeit im
Hyperlink-Behandlungscode gefunden. Der <q>Manual</q>-Browser-Befehl übergab eine
nichtvertrauenswürdige Zeichenkette ohne Zeichen zu entschärfen oder verlässlich
zu quoten an die Shell, was es einem Angreifer erlaubte, willkürliche Befehle
auf dem Rechner des Benutzers auszuführen. Unglücklicherweise zeigt Gaim den
Hyperlink nicht vorher an, bevor der Benutzer darauf klickt. Benutzer, die
andere eingebaute Browser-Befehle verwenden, sind nicht davon betroffen.</p>
<p>Dieses Problem wurde in Version 0.58-2.2 für die aktuelle Distribution
<q>stable</q> (Woody) und in Version 0.59.1-2 für die Distribution <q>unstable</q>
(Sid) behoben. Die alte Distribution <q>stable</q> (Potato) ist nicht davon
betroffen, da sie das Gaim-Programm nicht enthält.</p>
<p>Die reparierte Version von Gaim übergibt nicht mehr den Manual-Browser-Befehl
des Benutzers an die Shell. Befehle, die %s in Anführungszeichen enthalten,
müssen angepasst werden, damit sie keine Anführungszeichen mehr enthalten. Der
<q>Manual</q>-Browser-Befehl kann auf der <q>General</q>-Tafel des
<q>Preferences</q>-Dialogs
geändert werden, der durch das Klicken auf <q>Options</q> im Login-Fenster erreicht
werden kann, oder über <q>Tools</q> und dann <q>Preferences</q> aus dem Menübalken im
Buddy-List-Fenster.</p>
<p>Wir empfehlen Ihnen, Ihr gaim-Paket unverzüglich zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-158.data"
#use wml::debian::translation-check translation="b683fd461d031035624a738a969d37fb4d260052" mindelta="1"
# $Id$
|
