Mehrere sicherheitskritische Probleme wurden im xtell-Paket gefunden, einem einfachen Nachrichten-Client und -Server. Im Detail enthalten die Probleme mehrere Pufferüberläufe, ein Problem in Verbindung mit symbolischen Links und nicht autorisierte Verzeichnis-Überquerung bei »..« im Pfad. Diese Probleme können dazu führen, dass ein Angreifer beliebigen Code auf dem Server-Rechner ausführen kann. Der Server läuft mit den Privilegien von nobody in der Standardeinstellung, das wäre also der Account, der ausgenutzt werden könnte.
Diese Probleme wurden behoben, indem die Änderungen einer neueren Upstream-Version vom Debian-Betreuer des xtell-Pakets zurückportiert wurden. Diese Probleme sind in Version 1.91.1 in der stable-Distribution von Debian und in Version 2.7 für die testing- und unstable-Distribution von Debian behoben.
Wir empfehlen Ihnen, dass Sie Ihre xtell-Pakete unverzüglich aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.