Debian-Sicherheitsankündigung
DSA-329-1 osh -- Pufferüberläufe
- Datum des Berichts:
- 20. Jun 2003
- Betroffene Pakete:
- osh
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 7992, BugTraq ID 7993.
In Mitres CVE-Verzeichnis: CVE-2003-0452. - Weitere Informationen:
-
Steve Kemp entdeckte, dass osh, eine Shell, die dazu gedacht ist, die Möglichkeiten des Benutzers zu beschränken, zwei Pufferüberläufe enthält bei der Bearbeitung von Umgebungsvariablen und Datei-Umleitungen. Diese Verwundbarkeiten könnten verwendet werden, um willkürlichen Code auszuführen und damit die Beschränkungen zu umgehen, die für die Shell eingerichtet sind.
Für die stable Distribution (Woody) wurde dieses Problem in Version 1.7-11woody1 behoben.
Die alte stable Distribution (Potato) ist von diesem Problem betroffen, und wird bei verfügbarer Zeit mit einem zukünftigen Gutachten behoben.
Für die unstable Distribution (Sid) wurde dieses Problem in Version 1.7-12 behoben.
Wir empfehlen Ihnen, Ihr osh-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1.dsc
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1.diff.gz
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.