Alerta de Segurança Debian

DSA-142-1 openafs -- overflow com inteiros

Data do Alerta:
05 Ago 2002
Pacotes Afetados:
openafs
Vulnerável:
Sim
Referência à base de dados de segurança:
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 5356.
No dicionário CVE do Mitre: CVE-2002-0391.
Alertas, notas de incidentes e vulnerabilidades do CERT: VU#192995.
Informações adicionais:

Uma falha com overflow de inteiros foi descoberta na biblioteca RPC, usada pelo servidor de base de dados OpenAFS, que é derivada da biblioteca SunRPC. Essa falha pode ser explorada para derrubar certos servidores OpenAFS (volserver, vlserver, ptserver, buserver) ou para obter acesso de root não autorizado em uma máquina rodando um desses processos. Nenhum exploit é conhecido ainda.

Esse problema foi corrigido na versão 1.2.3final2-6 da atual distribuição estável (woody) e na versão 1.2.6-1 da distribuição instável (sid). Debian 2.2 (potato) não foi afetado, uma vez que não contém pacotes OpenAFS.

O OpenAFS está disponível somete para as arquiteturas alpha, i386, powerpc, s390 e sparc. Assim, somente providenciamos correções para os pacotes dessas arquiteturas.

Nós recomendamos que você atualize seus pacotes openafs.

Corrigido em:

Debian GNU/Linux 3.0 (woody)

Fonte:
http://security.debian.org/pool/updates/main/o/openafs/openafs_1.2.3final2-6.dsc
http://security.debian.org/pool/updates/main/o/openafs/openafs_1.2.3final2-6.diff.gz
http://security.debian.org/pool/updates/main/o/openafs/openafs_1.2.3final2.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/main/o/openafs/openafs-modules-source_1.2.3final2-6_all.deb
Alpha:
http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.2.3final2-6_alpha.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.2.3final2-6_alpha.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.2.3final2-6_alpha.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.2.3final2-6_alpha.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.2.3final2-6_alpha.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.2.3final2-6_i386.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.2.3final2-6_i386.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.2.3final2-6_i386.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.2.3final2-6_i386.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.2.3final2-6_i386.deb
PowerPC:
http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.2.3final2-6_powerpc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.2.3final2-6_powerpc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.2.3final2-6_powerpc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.2.3final2-6_powerpc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.2.3final2-6_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.2.3final2-6_s390.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.2.3final2-6_s390.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.2.3final2-6_s390.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.2.3final2-6_s390.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.2.3final2-6_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.2.3final2-6_sparc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.2.3final2-6_sparc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.2.3final2-6_sparc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.2.3final2-6_sparc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.2.3final2-6_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.