Aviso de seguridad de Debian

DSA-023-1 inn2 -- vulnerabilidades de archivo temporal local

Fecha del informe:
26 de ene de 2001
Paquetes afectados:
inn2
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2001-0361.
Información adicional:
  • La gente de WireX ha encontrado algunos potenciales usos inseguros de archivos temporales en los programas proporcionados por INN2. Algunos de ellos sólo pueden conducir a una vulnerabilidd de ataques de enlace simbólico si el directorio temporal fue fijado a /tmp ó /var/tmp, lo que es el caso de muchas instalaciones, al menos en los paquetes Debian. Un atacante podría sobreescribir cualquier archivo que pertenezca al administrador del sistema de news (noticias), por ejemplo, que pertenezcan a news.news.
  • Michal Zalewski encontró un desbordamiento de búfer explotable que concierne a mensajes cancelados y su verificación. Este error sólo mostraba si "verifycancels" estaba activado en inn.conf, que no es la opción predeterminada y ha sido desaconsejada en la versión siguiente.
  • Andi Kleen encontró un error en INN2 que hace que innd caiga para cabeceras de dos bytes. Esta oportunidad sólo puede ser explotada con uucp.
Le recomendamos que actualice sus paquetes inn2 inmediatamente.
Arreglado en:

Debian 2.2 (potato)

Fuentes:
http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31-4.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31-4.1.dsc
http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2-dev_2.2.2.2000.01.31-4.1_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2-inews_2.2.2.2000.01.31-4.1_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2_2.2.2.2000.01.31-4.1_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/inn2-dev_2.2.2.2000.01.31-4.1_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/inn2-inews_2.2.2.2000.01.31-4.1_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/inn2_2.2.2.2000.01.31-4.1_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/inn2-dev_2.2.2.2000.01.31-4.1_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/inn2-inews_2.2.2.2000.01.31-4.1_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/inn2_2.2.2.2000.01.31-4.1_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2-dev_2.2.2.2000.01.31-4.1_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2-inews_2.2.2.2000.01.31-4.1_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2_2.2.2.2000.01.31-4.1_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2-dev_2.2.2.2000.01.31-4.1_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2-inews_2.2.2.2000.01.31-4.1_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2_2.2.2.2000.01.31-4.1_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2-dev_2.2.2.2000.01.31-4.1_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2-inews_2.2.2.2000.01.31-4.1_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2_2.2.2.2000.01.31-4.1_sparc.deb