Säkerhetsinformation / 2003 / Säkerhetsinformation -- DSA-329-1 osh

Säkerhetsbulletin från Debian

DSA-329-1 osh -- buffertspill

Rapporterat den:

2003-06-20

Berörda paket:

osh

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 7992, BugTraq-id 7993.
I Mitres CVE-förteckning: CVE-2003-0452.

Ytterligare information:

Steve Kemp upptäckte att osh, ett skal avsett för att begränsa vad en användare kan göra, innehåller två buffertspill, vid hantering miljövariabler och omdirigering av filer. Dessa sårbarheter kunde användas för att exekvera godtycklig kod och därmed gå förbi alla begränsningar som satts på skalet.

För den stabila utgåvan (Woody) har detta problem rättats i version 1.7-11woody1.

Den gamla stabila utgåvan (Potato) påverkas av detta problem, och det kan komma att rättas i en framtida bulletin om tid finns.

För den instabila utgåvan (Sid) rättas detta problem i version 1.7-12.

Vi rekommenderar att ni uppgraderar ert osh-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:

http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1.dsc

http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1.diff.gz

Alpha:

http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.