Säkerhetsbulletin från Debian

DSA-111-1 ucd-snmp -- fjärrattack

Rapporterat den:
2002-02-14
Berörda paket:
ucd-snmp
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2002-012, CVE-2002-013.
CERTs information om sårbarheter, bulletiner och incidenter: VU#854306, VU#107186, CA-2002-03.
Ytterligare information:

Secure Programming Group vid Uleåborg universitet undersökte SNMP-implementationer och upptäckte flera misstag som kan orsaka problem från överbelastningar till fjärrattacker.

Nya UCD-SNMP-paket har förberetts för att rätta dessa problem, såväl som några ytterligare. Hela listan med rättade problem är:

  • När externa program körs använde snmpd temporära filer på ett osäkert sätt
  • snmp återställde inte tilläggsgrupper korrekt efter att ha bytt sitt användar- och grupp-id
  • Ändrade merparten av koden till att använda buffertar istället för strängar av fast längd för att förhindra buffertspill
  • ASN.1-tolken testade inte för negativa längder
  • IFINDEX-svarshanteringen i snmpnetstat gjorde testade inte för att se om indata var vettiga

(tack till Caldera för huvuddelen av arbetet på dessa rättelser)

Den nya versionen är 4.1.1-2.1 och vi rekommenderar att ni uppgraderar era snmp-paket omedelbart.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:
http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1-2.2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1-2.2.dsc
http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/libsnmp4.1-dev_4.1.1-2.2_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/libsnmp4.1_4.1.1-2.2_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/snmp_4.1.1-2.2_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/snmpd_4.1.1-2.2_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/libsnmp4.1-dev_4.1.1-2.2_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/libsnmp4.1_4.1.1-2.2_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/snmp_4.1.1-2.2_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/snmpd_4.1.1-2.2_arm.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/libsnmp4.1-dev_4.1.1-2.2_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/libsnmp4.1_4.1.1-2.2_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/snmp_4.1.1-2.2_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/snmpd_4.1.1-2.2_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/libsnmp4.1-dev_4.1.1-2.2_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/libsnmp4.1_4.1.1-2.2_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/snmp_4.1.1-2.2_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/snmpd_4.1.1-2.2_m68k.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/libsnmp4.1-dev_4.1.1-2.2_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/libsnmp4.1_4.1.1-2.2_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/snmp_4.1.1-2.2_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/snmpd_4.1.1-2.2_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.