Alerta de Segurança Debian

DSA-089-2 icecast-server -- exploit de root remoto (e outros)

Data do Alerta:
05 Dez 2001
Pacotes Afetados:
icecast-server
Vulnerável:
Sim
Referência à base de dados de segurança:
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 2264, ID BugTraq 2932, ID BugTraq 2933.
No dicionário CVE do Mitre: CVE-2001-0784, CVE-2001-1083, CVE-2001-1230.
Informações adicionais:

O pacote icecast-server (um servidor streaming de música) distribuído na Debian GNU/Linux 2.2 tem alguns problemas de segurança:

  • se um cliente adicionar um / depois do nome do arquivo a ser pego, o servidor poderá cair.
  • deixando escapar pontos como E é possível enganar os meios de segurança e baixar arquivos arbitrários
  • existiam diversos estouros de buffer que poderiam ser exploitados para ganhar acesso de root

Esses problemas foram consertados na versão 1.3.10-1, e nós realmente recomendamos que você atualize o seu pacote icecast-server imediatamente.

O pacote i386 mencionado no aviso de segurança DSA-089-1 foi compilado incorretamente e não roda nas máquinas Debian GNU/Linux potato. Isso foi consertado na versão 1.3.10-1.1.

Corrigido em:

Debian GNU/Linux 2.2 (potato)

Fonte:
http://security.debian.org/dists/stable/updates/main/source/icecast-server_1.3.10-1.dsc
http://security.debian.org/dists/stable/updates/main/source/icecast-server_1.3.10-1.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/icecast-server_1.3.10-1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/icecast-server_1.3.10-1_arm.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/icecast-server_1.3.10-1.1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/icecast-server_1.3.10-1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/icecast-server_1.3.10-1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/icecast-server_1.3.10-1_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original. (DSA-089-2)