Debian-Sicherheitsankündigung

DSA-392-1 webfs -- Pufferüberläufe, Datei- und Verzeichnisenthüllung

Datum des Berichts:
29. Sep 2003
Betroffene Pakete:
webfs
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 8724, BugTraq ID 8726.
In Mitres CVE-Verzeichnis: CVE-2003-0832, CVE-2003-0833.
Weitere Informationen:

Jens Steube berichtete von zwei Verwundbarkeiten in webfs, einem leichtgewichtigem HTTP-Server für statische Inhalte.

  • CAN-2003-0832 - Wenn virtuelles Hosting aktiviert ist, kann ein entfernter Client »..« als den Hostnamen in einer Anfrage angeben, was es erlaubt, eine Verzeichnisübersicht oder Dateien oberhalb des Dokument-Wurzelverzeichnisses zu erhalten.

  • CAN-2003-0833 - Ein langer Pfadname könnte einen auf dem Stack vorgesehenen Puffer überlaufen lassen, was die Ausführung von willkürlichem Code erlaubt. Um diese Verwundbarkeit auszunutzen, würde es notwendig sein, Verzeichnisse auf dem Server an einem Ort zu erstellen, auf den vom Webserver zugegriffen werden kann. Im Zusammenhang mit CAN-2003-0832 könnte dies ein weltweit schreibbares Verzeichnis wie /var/tmp sein.

Für die aktuelle stable Distribution (Woody) wurden diese Probleme in Version 1.17.2 behoben.

Für die unstable Distribution (Sid) wurden diese Probleme in Version 1.20 behoben.

Wir empfehlen Ihnen, Ihr webfs-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2.dsc
http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.