Sistemas Afectados

1. Descripción

   El equipo de seguridad de Debian encontró múltiples vulnerabilidades en el popular navegador Web en modo texto. El equipo de seguridad de Debian ha clasificado esta vulnerabilidad de tipo severo.

2. Impacto

   Michal Zalewski descubri'o que lynx no es capaz de entender un HTML no válido, cuando los tags de TEXTAREA contienen un valor muy grande de COLS y un nombre muy largo en el elemento que no esté correctamente finalizado, trata de desplegar el HTML, produciendo un loop infinito.

   Ulf Härnhammar descubrió un buffer overflow que puede ser explotado remotamente. Durante el manejo de caracteres asiáticos, cuando se conecta a un servidor NNTP lynx puede ser engañado para escribir despues del fin del buffer que puede permitir la ejecución de código arbitrario.

   Para las distribuciones "stable distribution (woody)" este problema ha sido reparado en la versión 2.8.5-2.5woody1.

   Para las distribuciones "stable distribution (sarge)" este problema ha sido reparado en la versión 2.8.6-9sarge1.

   Para las distrubuciones "unstable distribution (sid)" el problema será reparado proximamente.

   Se recomienda actualizar el paquete lynx-cur

3. Solución

   Para solucionar este problema ejecutar los siguientes comandos:

   el cuar traerá el archivo correspondiente en formato .deb

   dpkg -i archivo.deb

   el comando anterior instalará el archivo que se acaba de descargar.

   Si utiliza el comando apt-get para la administración de paquetes, agregue la siguiente liga en el archivo sources.list:
   
   http://security.debian.org/ stable/updates main

   El comando apt-get update actualizará la base de datos.
   El comando apt-get upgrade actualizará instalará los paquetes actualizados

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Alejandro Nuñez Sandoval (anunez at seguridad dot unam dot mx)
• Israel Becerril Sierra (ibecerril at seguridad dot unam dot mx)