Debians sikkerhedsbulletin

DSA-121-1 xtell -- bufferoverløb, symlink-problem, ".."-mappegennemløb

Rapporteret den:
11. mar 2002
Berørte pakker:
xtell
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2002-0332, CVE-2002-0333, CVE-2002-0334.
Yderligere oplysninger:

Der er fundet flere sikkerhedsrelaterede problemer i xtell-pakken, en simpel postklient og -server. Specifikt er problemerne flere bufferoverløb, et problem i forbindelse med symbolske links, uautoriseret mappegennemløb når stien indeholder "..". Problemerne kunne føre til, at en angriber fik mulighed for at udføre vilkårlig kode på serveren. Som standard kører serveren med "nobody" som rettighed, og denne konto kunne altså udnyttes.

Problemerne er blevet rettet af Debians vedligeholder af xtell, ved at tilbageføre ændringer fra en nyere opstrømsversion. Problemerne er rettet i version 1.91.1 i Debians stabile distribution og i version 2.7 i Debians test- og ustabile distributioner.

Vi anbefaler at du omgående opgraderer dine xtell-pakker.

Rettet i:

Debian GNU/Linux 2.2 (potato)

Kildekode:
http://security.debian.org/dists/stable/updates/main/source/xtell_1.91.1.dsc
http://security.debian.org/dists/stable/updates/main/source/xtell_1.91.1.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/xtell_1.91.1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/xtell_1.91.1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/xtell_1.91.1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/xtell_1.91.1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/xtell_1.91.1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/xtell_1.91.1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.