blob: 52819c0069129ba174ee8b96b6e4801f10d3e908 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
|
#use wml::debian::translation-check translation="0e248e3cc0255acdb2cac64b43e08665b631e6de" maintainer="juanma"
<define-tag description>validación débil de nombre de máquina y de
usuario</define-tag>
<define-tag moreinfo>
<p>Patrice Fournier descubrió una vulnerabilidad en el subsistema de
autorización de hylafax, un flexible sistema de fax cliente/servidor.
Un usuario local o remoto que averiguase el contenido de la base de
datos hosts.hfaxd podría obtener acceso no autorizado al sistema de
fax.</p>
<p>Algunas instalaciones de hylafax podían llegar a utilizar la
debilidad en la validación de nombre de máquina y de usuario para usos
autorizados. Por ejemplo, las entradas de hosts.hfaxd que pueden
ser frecuentes:</p>
<pre>
192.168.0
usuario:uid:clave:claveadmin
usuario@maquina
</pre>
<p>Después de actualizar, estas entradas se tendrían que modificar
para seguir funcionando. Respectivamente, las entradas correctas
deberían ser:</p>
<pre>
192.168.0.[0-9]+
usuario@:uid:clave:claveadmin
usuario@maquina
</pre>
<p>A no ser que haya coincidencia de «usuario» con «otrousuario» y
«máquina» con «nombredemáquina» que se desee, el formato adecuado de
esas entradas deberían incluir el delimitador y marcadores como
estos:</p>
<pre>
@192.168.0.[0-9]+$
^usuario@:uid:clave:claveadmin
^usuario@maquina$
</pre>
<p>Para la distribución estable (woody), este problema se ha corregido
en la versión 4.1.1-3.1.</p>
<p>Para la distribución inestable (sid), este problema se ha corregido
en la versión 4.2.1-1.</p>
<p>Le recomendamos que actualice el paquete hylafax.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-634.data"
# $Id$
|