Aviso de seguridad de Debian

DSA-142-1 openafs -- desbordamiento de entero

Fecha del informe:
5 de ago de 2002
Paquetes afectados:
openafs
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 5356.
En el diccionario CVE de Mitre: CVE-2002-0391.
Notas y avisos de incidentes y vulnerabilidades en CERT: VU#192995.
Información adicional:

Un error de desbordamiento de entero ha sido descubierto en la biblioteca RPC usada por el servidor de bases de datos OpenAFS, que se deriva de la biblioteca SunRPC. Este error podía ser explotado para hacer caer ciertos servidores OpenAFS (volserver, vlserver, ptserver, buserver) o para obtener acceso no autorizado a root en un host que estuviera ejecutando uno de estos procesos. No se conoce aún la existencia de explotaciones.

Este problema ha sido corregido en la versión 1.2.3final2-6 para la distribución estable actual (woody) y en la versión 1.2.6-1 para la distribución inestable (sid). Debian 2.2 (potato) no se ve afectada porque no contiene los paquetes OpenAFS.

OpenAFS sólo está disponible para las arquitecturas alpha, i386, powerpc, s390 y sparc. Por tanto, sólo proporcionamos paquetes corregidos para estas arquitecturas.

Le recomendamos que actualice los paquetes de openafs.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/o/openafs/openafs_1.2.3final2-6.dsc
http://security.debian.org/pool/updates/main/o/openafs/openafs_1.2.3final2-6.diff.gz
http://security.debian.org/pool/updates/main/o/openafs/openafs_1.2.3final2.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/o/openafs/openafs-modules-source_1.2.3final2-6_all.deb
Alpha:
http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.2.3final2-6_alpha.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.2.3final2-6_alpha.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.2.3final2-6_alpha.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.2.3final2-6_alpha.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.2.3final2-6_alpha.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.2.3final2-6_i386.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.2.3final2-6_i386.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.2.3final2-6_i386.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.2.3final2-6_i386.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.2.3final2-6_i386.deb
PowerPC:
http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.2.3final2-6_powerpc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.2.3final2-6_powerpc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.2.3final2-6_powerpc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.2.3final2-6_powerpc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.2.3final2-6_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.2.3final2-6_s390.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.2.3final2-6_s390.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.2.3final2-6_s390.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.2.3final2-6_s390.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.2.3final2-6_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.2.3final2-6_sparc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.2.3final2-6_sparc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.2.3final2-6_sparc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.2.3final2-6_sparc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.2.3final2-6_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.