Aviso de seguridad de Debian

DSA-124-1 mtr -- desbordamiento de búfer

Fecha del informe:

26 de mar de 2002

Paquetes afectados:

mtr

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 4217.
En el diccionario CVE de Mitre: CVE-2002-0497.

Información adicional:

Los autores de mtr liberaron una nueva versión superior, con un desbordamiento de búfer no explotable en su ChangeLog. Przemyslaw Frasunek, sin embargo, encontró una forma fácil de explotar este error, que permite a un atacante conseguir acceso al socket en crudo, lo que hace posibles la alteración de IPs (IP spoofing) y otras actividades de red maliciosas.

El problema lo arregló el mantenedor de Debian en la versión 0.41-6 de la distribución estable de Debian al portar el arreglo de la nueva versión 0.48-1 en la distribución testing/inestable.

Recomendamos que actualice su paquete mtr inmediatamente.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:: http://security.debian.org/dists/stable/updates/main/source/mtr_0.41.orig.tar.gz; http://security.debian.org/dists/stable/updates/main/source/mtr_0.41-6.dsc; http://security.debian.org/dists/stable/updates/main/source/mtr_0.41-6.diff.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/mtr_0.41-6_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/mtr_0.41-6_arm.deb
Intel ia32:: http://security.debian.org/dists/stable/updates/main/binary-i386/mtr_0.41-6_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/mtr_0.41-6_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/mtr_0.41-6_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/mtr_0.41-6_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.