Debian-Sicherheitsankündigung

DSA-121-1 xtell -- Pufferüberlauf, Problem mit symbolischem Link, ".."-Verzeichnisüberquerung

Datum des Berichts:
11. Mär 2002
Betroffene Pakete:
xtell
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2002-0332, CVE-2002-0333, CVE-2002-0334.
Weitere Informationen:

Mehrere sicherheitskritische Probleme wurden im xtell-Paket gefunden, einem einfachen Nachrichten-Client und -Server. Im Detail enthalten die Probleme mehrere Pufferüberläufe, ein Problem in Verbindung mit symbolischen Links und nicht autorisierte Verzeichnis-Überquerung bei »..« im Pfad. Diese Probleme können dazu führen, dass ein Angreifer beliebigen Code auf dem Server-Rechner ausführen kann. Der Server läuft mit den Privilegien von nobody in der Standardeinstellung, das wäre also der Account, der ausgenutzt werden könnte.

Diese Probleme wurden behoben, indem die Änderungen einer neueren Upstream-Version vom Debian-Betreuer des xtell-Pakets zurückportiert wurden. Diese Probleme sind in Version 1.91.1 in der stable-Distribution von Debian und in Version 2.7 für die testing- und unstable-Distribution von Debian behoben.

Wir empfehlen Ihnen, dass Sie Ihre xtell-Pakete unverzüglich aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/dists/stable/updates/main/source/xtell_1.91.1.dsc
http://security.debian.org/dists/stable/updates/main/source/xtell_1.91.1.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/xtell_1.91.1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/xtell_1.91.1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/xtell_1.91.1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/xtell_1.91.1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/xtell_1.91.1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/xtell_1.91.1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.