Debianin tietoturvatiedote
DSA-329-1 osh -- puskurin ylivuotoja
- Ilmoitettu:
- 20. 6.2003
- Vaikutuksen alaiset paketit:
- osh
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 7992, BugTraq-tunniste 7993.
Mitren CVE-sanakirjassa: CVE-2003-0452. - Lisätietoa:
-
Steve Kemp havaitsi että osh, komentotulkki jonka tarkoitus on rajoittaa käyttäjän toimia, sisältää kaksi puskurin ylivuotoa, ympäristömuuttujien käsittelyssä ja tiedoston uudelleenohjauksissa. Näitä haavoittuvuuksia hyväksikäyttämällä voi suorittaa mielivaltaista koodia, komentotulkin asettamista rajoituksista huolimatta.
Ongelma on korjattu vakaan jakelun (woody) versiossa 1.7-11woody1 .
Aiempi vakaa jakelu (potato) on altis tälle ongelmalle, ja sille saattaa tulla mahdollisesti korjaus myöhemmin, mikäli aikataulut antavat periksi.
Ongelma on korjattu epävakaan jakelun (sid) versiossa 1.7-12 .
Suosittelemme päivittämään osh-paketin.
- Korjattu:
-
Debian GNU/Linux 3.0 (woody)
- Lähde:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1.dsc
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1.diff.gz
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_sparc.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.