Csomag: gaim
Sebezhetőség: tetszőleges program végrehajtás
Probléma típus: távoli
Debian-specifikus: nem
A Gaim, ami egy "instant üzenő kliens", ami kombinál különböző hálózatokat, fejlesztői találtak egy sebezhetőséget a hiperlink kezelő kódban. A 'Kézikönyv' böngésző parancs átad egy megbízhatatlan sztringet a shell-nek enélkül hogy rendesen levédené idézőjelekkel, ezáltal lehetővé téve egy támadó számára, hogy tetszőleges parancsot lefuttasson a felhasználó gépén. Sajnos a Gaim nem jeleníti meg a hiperlinket mielőtt a felhasználó rákattint. Azok a felhasználók, amelyek más beépített böngésző utasításokat használnak nem sebezhetők.A probléma javítva van a 0.58-2.2 verziójú csomagban a jelenlegi stabil terjesztésben (woody), és a 0.59.1-2 verziójú csomagban az unstabil terjesztéshez (sid). A régebbi stabil terjesztés, a potato nem érintett ebben a hibában. lévén az nem tartalmazza a Gaim programot.
A Gaim javított verziója nem adja át többé a felhasználói kézikönyv parancsát a shellnek. A parancsok amelyek %s-t tartalmaznak idézőjelek közt kijavítódnak, hogy ne tartalmazzanak idézőjelet. A kézikönyv olvasó parancsot meg lehet szerkeszteni a 'General'/Általános táblán a 'Preferences'/Beállítások párbeszédablakban, amit bejelentkezési ablak 'Options'/Opciók menüjéből vagy a 'haverlista' ablak 'Tools'Eszközök menün belülről a 'Preferences'/Beállítások menüből lehet elérni.
Javasoljuk, hogy frissítsd a gaim csomagod azonnal.
Martin Schultze levele a debian-security-announce listán.
A frissítésrõl szóló FAQ-nk.