Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-158-1 gaim -- Willkürliche Programmausführung

Datum des Berichts:

27. Aug 2002

Betroffene Pakete:

gaim

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 5574.
In Mitres CVE-Verzeichnis: CVE-2002-0989.

Weitere Informationen:

Die Entwickler von Gaim, einem Instant-Messenger Client, der mehrere verschiedene Netzwerke kombiniert, haben eine Verwundbarkeit im Hyperlink-Behandlungscode gefunden. Der Manual-Browser-Befehl übergab eine nichtvertrauenswürdige Zeichenkette ohne Zeichen zu entschärfen oder verlässlich zu quoten an die Shell, was es einem Angreifer erlaubte, willkürliche Befehle auf dem Rechner des Benutzers auszuführen. Unglücklicherweise zeigt Gaim den Hyperlink nicht vorher an, bevor der Benutzer darauf klickt. Benutzer, die andere eingebaute Browser-Befehle verwenden, sind nicht davon betroffen.

Dieses Problem wurde in Version 0.58-2.2 für die aktuelle Distribution stable (Woody) und in Version 0.59.1-2 für die Distribution unstable (Sid) behoben. Die alte Distribution stable (Potato) ist nicht davon betroffen, da sie das Gaim-Programm nicht enthält.

Die reparierte Version von Gaim übergibt nicht mehr den Manual-Browser-Befehl des Benutzers an die Shell. Befehle, die %s in Anführungszeichen enthalten, müssen angepasst werden, damit sie keine Anführungszeichen mehr enthalten. Der Manual-Browser-Befehl kann auf der General-Tafel des Preferences-Dialogs geändert werden, der durch das Klicken auf Options im Login-Fenster erreicht werden kann, oder über Tools und dann Preferences aus dem Menübalken im Buddy-List-Fenster.

Wir empfehlen Ihnen, Ihr gaim-Paket unverzüglich zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:

http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2.dsc

http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2.diff.gz

http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_alpha.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_alpha.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_arm.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_arm.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_i386.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_i386.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_ia64.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_ia64.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_ia64.deb

HP Precision:

http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_hppa.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_hppa.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_m68k.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_m68k.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_mips.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mips.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_mipsel.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mipsel.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_powerpc.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_powerpc.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_s390.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_s390.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_sparc.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_sparc.deb

http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français Italiano 日本語 (Nihongo) Português svenska

Wie stellt man die Standardsprache ein