Debian-Sicherheitsankündigung

DSA-102-2 at -- Daemon Angriff

Datum des Berichts:

16. Jan 2002

Betroffene Pakete:

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2002-0004.

Weitere Informationen:

zen-parse hat einen Fehler in der aktuellen Implementierung von at gefunden, der zu einer Heap-Korruptions-Verwundbarkeit führen kann. Diese kann potenziell für einen Angriff auf den daemon-Benutzer ausgenutzt werden.

Wir empfehlen Ihnen, dass Sie Ihr at Paket aktualisieren.

Unglücklicherweise wurde die Fehlerbehebung von DSA-102-1 wegen eines Paketierungsfehlers nicht ordnungsgemäß verbreitet. Während die Datei parsetime.y behoben wurde, und yy.tab.c daraus hätte erstellt werden sollen, wurde trotzdem noch yy.tab.c aus dem ursprünglichen Source verwendet. Dies wurde in DSA-102-2 behoben.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:: http://security.debian.org/dists/stable/updates/main/source/at_3.1.8-10.2.dsc; http://security.debian.org/dists/stable/updates/main/source/at_3.1.8-10.2.diff.gz; http://security.debian.org/dists/stable/updates/main/source/at_3.1.8.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/at_3.1.8-10.2_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/at_3.1.8-10.2_arm.deb
Intel ia32:: http://security.debian.org/dists/stable/updates/main/binary-i386/at_3.1.8-10.2_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/at_3.1.8-10.2_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/at_3.1.8-10.2_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/at_3.1.8-10.2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.