Debian-Sicherheitsankündigung

DSA-034-1 ePerl -- Entferntes root-Exploit

Datum des Berichts:
07. Mär 2001
Betroffene Pakete:
eperl
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 2464.
In Mitres CVE-Verzeichnis: CVE-2001-0458.
Weitere Informationen:
Fumitoshi Ukai und Denis Barbier haben mehrere potenzielle Pufferüberlauf-Fehler in unserer Version von ePerl gefunden, wie sie in allen unseren Distributionen verteilt wird.

Wenn eperl setuid root installiert ist, kann es auf die UID/GID des Skript-Besitzers umschalten. Da Debian jedoch das Programm nicht setuid root vertreibt, ist dies ein nützliches Feature, das die Leute lokal aktiviert haben. Wenn das Programm als /usr/lib/cgi-bin/nph-eperl verwendet wird, könnte der Fehler ebenfalls zu einer Verwundbarkeit führen.

Version 2.2.14-0.7potato2 behebt dies; wir empfehlen Ihnen, Ihr eperl-Paket unverzüglich zu aktualisieren.

Behoben in:

Debian 2.2 (potato)

Quellcode:
http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14-0.7potato2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14-0.7potato2.dsc
http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/eperl_2.2.14-0.7potato2_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/eperl_2.2.14-0.7potato2_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/eperl_2.2.14-0.7potato2_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/eperl_2.2.14-0.7potato2_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/eperl_2.2.14-0.7potato2_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/eperl_2.2.14-0.7potato2_sparc.deb