Säkerhetsbulletin från Debian

DSA-329-1 osh -- buffertspill

Rapporterat den:
2003-06-20
Berörda paket:
osh
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 7992, BugTraq-id 7993.
I Mitres CVE-förteckning: CVE-2003-0452.
Ytterligare information:

Steve Kemp upptäckte att osh, ett skal avsett för att begränsa vad en användare kan göra, innehåller två buffertspill, vid hantering miljövariabler och omdirigering av filer. Dessa sårbarheter kunde användas för att exekvera godtycklig kod och därmed gå förbi alla begränsningar som satts på skalet.

För den stabila utgåvan (Woody) har detta problem rättats i version 1.7-11woody1.

Den gamla stabila utgåvan (Potato) påverkas av detta problem, och det kan komma att rättas i en framtida bulletin om tid finns.

För den instabila utgåvan (Sid) rättas detta problem i version 1.7-12.

Vi rekommenderar att ni uppgraderar ert osh-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:
http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1.dsc
http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.