Información sobre seguridad / 2000 / Información sobre seguridad -- netscape navigator/communicator

Aviso de seguridad de Debian

netscape navigator/communicator -- explotación remota

Fecha del informe:

1 de sep de 2000

Paquetes afectados:

navigator, communicator

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

No se dispone, de momento, de referencias a otras bases de datos de seguridad externas.

Información adicional:

Los paquetes existentes de Netscape Communicator/Navigator contienen las siguientes vulnerabilidades:

1. Vulnerabilidad de sobreescritura en la pila de comentarios JPEG de Netscape Communicator
   • ejecuta código arbitrario en el campo de comentarios de un archivo JPEG
   • las versiones de la 4.0 a 4.73 de Netscape Communicator/Navigator son vulnerables
2. Vulnerabilidad en el socket de escucha de la máquina virtual de Java de múltiples vendedores
3. Vulnerabilidad de lectura de URL de Netscape Communicator
   • los elementos 2 y 3 juntos se conocen como la vulnerabilidad de "Orificio marrón" ("Brown Orifice")
   • se puede explotar para exponer los contenidos de su computadora a cualquiera de Internet, permitiéndole leer archivos visibles para el usuario que ejecuta el navegador
   • las versiones de la 4.0 a 4.74 de Netscape Communicator/Navigator son vulnerables

Recomendamos a los usuarios que estén ejecutando Netscape Communicator/Navigator que se actualicen a la versión 4.75. Hay disponibles nuevos paquetes disponibles en fuente para máquinas Intel ia32 corriendo Debian 2.2 (potato). Fíjese en que los nuevos paquetes no borrarán sus paquetes actuales de Communicator/Navigator; debería borrar manualmente cualquier versión anterior instalada de Communicator/Navigator.

Hay varias maneras de borrar los paquetes de netscape. Una forma rápida de hacerlo es ejecutar "apt-get remove netscape-base-473", sustituyendo 473 por 406, 407, 408, 45, 46, 461, 47 o 472, según sea necesario. Si no tiene apt-get, debe lanzar "dpkg --remove communicator-smotif-473 communicator-base-473 netscape-java-473 navigator-smotif-473 navigator-base-473", de nuevo sustituyendo el número por cualquier otra versión que tenga instalada. También puede borrar los paquetes vía dselect.

Si tiene "deb http://security.debian.org/ potato/updates main contrib non-free" en /etc/apt/sources.list puede ejecutar "apt-get update ; apt-get install communicator" para instalar el paquete de communicator completo (incluyendo correo y noticias) o "apt-get update ; apt-get install navigator" para instalar sólo el navegador. Una instalación manual típica incluye communicator-smotif-475, communicator-base-475, netscape-base-475, netscape-base-4 y netscape-java-475.

Arreglado en:

Fuentes:

http://security.debian.org/dists/potato/updates/non-free/source/netscape4.75_4.75-2.diff.gz

http://security.debian.org/dists/potato/updates/non-free/source/netscape4.75_4.75-2.dsc

http://security.debian.org/dists/potato/updates/non-free/source/netscape4.75_4.75.orig.tar.gz

http://security.debian.org/dists/potato/updates/non-free/source/netscape4.base_4.75-1.dsc

http://security.debian.org/dists/potato/updates/non-free/source/netscape4.base_4.75-1.tar.gz

Intel ia32:

http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-base-475_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-nethelp-475_4.75-2_all.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-smotif-475-libc5_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-smotif-475_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-spellchk-475_4.75-2_all.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator_4.75-1_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-base-475_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-nethelp-475_4.75-2_all.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-smotif-475-libc5_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-smotif-475_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator_4.75-1_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-base-4-libc5_4.75-1_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-base-475_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-base-4_4.75-1_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-ja-resource-475_4.75-2_all.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-java-475_4.75-2_all.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-ko-resource-475_4.75-2_all.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-smotif-475-libc5_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-smotif-475_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-zh-resource-475_4.75-2_all.deb