blob: f436a7ae85f30258b58cb2269688befddeb0aa1e (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
|
#use wml::debian::translation-check translation="b683fd461d031035624a738a969d37fb4d260052"
<define-tag description>ejecución de programa arbitrario</define-tag>
<define-tag moreinfo>
<p>Los desarrolladores de Gaim, un cliente de mensajería instantánea que
combina varias redes diferentes, encontraron una vulnerabilidad en el
código de gestión de hiperenlaces. El comando del navegador del «Manual»
pasa una cadena no segura a la shell -sin condiciones de escape ni comillas
fiables-, permitiendo al atacante ejecutar comandos arbitrarios en la
máquina del usuario. Desafortunadamente, Gaim no muestra el hiperenlace
antes de que el usuario lo pulse. Los usuarios de otros comandos del
navegador internos no son vulnerables.</p>
<p>Este problema ha sido corregido en la versión 0.58-2.2 para la
distribución estable actual (woody) y en la versión 0.59.1-2 para la
distribución inestable (sid). La distribución estable anterior (potato) no
se ve afectada porque no contiene el programa Gaim.</p>
<p>Las versiones corregidas de Gaim no vuelven a pasar el comando del
navegador del manual de usuario a la shell. Los comandos que contienen %s
entre comillas tendrán que repararse de tal forma que no contengan
comillas. El comando del navegador del «Manual» se puede editar en la pestaña
«General» del diálogo de «Preferencias», al que se puede acceder haciendo
clic sobre «Opciones» desde la ventana de ingreso o desde «Herramientas» y
luego «Preferencias» desde la barra de menú en la ventana de la lista de
amigos.</p>
<p>Le recomendamos que actualice el paquete gaim inmediatamente.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-158.data"
|
