Debianin tietoturvatiedote

DSA-300-1 balsa -- puskurin ylivuoto

Ilmoitettu:

6. 5.2003

Vaikutuksen alaiset paketit:

balsa

Altis:

Kyllä

Viittaukset tietoturvatietokantoihin:

Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 7229.
Mitren CVE-sanakirjassa: CVE-2003-0167.

Lisätietoa:

Byrial Jensen havaitsi Muttin, IMAP:ia, MIME-koodausta, GPG:tä, PGP:tä ja säikeistystä tukevan tekstipohjaisen sähköpostiohjelman, IMAP-koodissa pari off-by-one-puskuriylivuotoa. Kyseistä koodia käytetään myös Balsa-paketissa. Tätä ongelmaa hyväksikäyttämällä pahantahtoinen etäkäytettävä IMAP-palvelin voi aiheuttaa palveluneston (ohjelma kaatuu), sekä mahdollisesti suorittaa mielivaltaista koodin tietyllä tavalla muotoillun postihakemiston avulla.

Ongelma on korjattu vakaan jakelun (woody) versiossa 1.2.4-2.2 .

Aiempi vakaa jakelu (potato) ei näytä olevan altis tälle ongelmalle.

Korjaus epävakaalle jakelulle (sid) ilmestyy piakkoin.

Suosittelemme päivittämään balsa-paketin.

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:: http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2.dsc; http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2.diff.gz; http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_sparc.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.