Säkerhetsbulletin från Debian

DSA-144-1 wwwoffle -- felaktig hantering av indata

Rapporterat den:

2002-08-06

Berörda paket:

wwwoffle

Sårbara:

Referenser i säkerhetsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5260.
I Mitres CVE-förteckning: CVE-2002-0818.

Ytterligare information:

Ett problem har upptäckts i wwwoffle. Webbmellanservern (proxyn) hanterade inte indata med negativa Content-Length-inställningar korrekt, vilket fick barnet som läste det att krascha. I dagsläget är det inte uppenbart hur detta kan leda till en sårbarhet som kan utnyttjas, men det är bättre att vara på den säkra sidan, så här kommer en uppdatering.

Dessutom kommer Woodyversionen att hantera tomma lösenord som felaktiga vid autentiseringsförsök. Woodyversionen har dessutom ersatt CanonicaliseHost() med den senaste rutinen från 2.7d, vilken gjorts tillgänglig av uppströmsförfattaren. Detta förhindrar att felaktiga IPv6-formaterade IP-adresser i URLer ger problem (minnesöverskrivning, möjliga utnyttjanden).

Detta problem har rättats i version 2.5c-10.4 för den gamla stabila utgåvan (Potato), i version 2.7a-1.2 för den nuvarande stabila utgåvan (Woody) samt i version 2.7d-1 för den instabila utgåvan (Sid).

Vi rekommenderar att ni uppgraderar era wwwoffle-paket.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4.dsc; http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4.diff.gz; http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.5c-10.4_sparc.deb

Debian GNU/Linux 3.0 (woody)

Källkod:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2.dsc; http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2.diff.gz; http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_ia64.deb
HP Precision:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/w/wwwoffle/wwwoffle_2.7a-1.2_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.