Aviso de seguridad de Debian

DSA-141-1 mpack -- desbordamiento de búfer

Fecha del informe:

1 de ago de 2002

Paquetes afectados:

mpack

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 5385.
En el diccionario CVE de Mitre: CVE-2002-1425.

Información adicional:

Eckehard Berns descubrió un desbordamiento de búfer en el programa munpack que se usaba para decodificar archivos binarios en mensajes de correo en formato MIME (extensiones de correo de internet de múltiples propósitos). Si munpack trata un correo (o artículo de noticias) mal formado apropiado, caerá, y quizás pueda hacerse que corra código arbitrario.

Herbert Xu informó de una segunda vulnerabilidad que afectaba a los nombres de archivos mal formados en los directorios superiores como «../a». El impacto de seguridad es limitado, porque sólo se aceptaba un «../» y sólo se podían crear archivos nuevos (por ejemplo, no se sobreescribirían los archivos).

Ambos problemas han sido corregidos en la versión 1.5-5potato2 para la distribución estable anterior (potato), en la versión 1.5-7woody2 para la distribución estable actual (woody), y en la versión 1.5-9 para la distribución inestable (sid).

Le recomendamos que actualice el paquete mpack inmediatamente.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2.dsc; http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2.diff.gz; http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_sparc.deb

Debian GNU/Linux 3.0 (woody)

Fuentes:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2.dsc; http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2.diff.gz; http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_ia64.deb
HP Precision:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.