Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-513-1 log2mail -- Format-String

Datum des Berichts:

03. Jun 2004

Betroffene Pakete:

log2mail

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 10460.
In Mitres CVE-Verzeichnis: CVE-2004-0450.

Weitere Informationen:

jaguar@felinemenace.org entdeckte eine Format-String-Verwundbarkeit in log2mail, wodurch ein Benutzer beliebigen Code mit den Rechten des log2mail-Prozesses ausführen lassen kann, wenn er in der Lage ist, eine speziell präparierte Nachricht in eine Logdatei zu schreiben, die von log2mail überwacht wird (beispielsweise über syslog). In der Voreinstellung läuft dieser Prozess als Benutzer »log2mail«, der ein Mitglied der Gruppe »adm« ist (die Lesezugriff auf Logdateien des Systems hat).

CAN-2004-0450: log2mail Format-String-Verwundbarkeit über syslog(3) in printlog()

Für die aktuelle stable Distribution (Woody) wurde dieses Problem in Version 0.2.5.2 behoben.

Für die unstable Distribution (Sid) wird dieses Problem bald behoben sein.

Wir empfehlen Ihnen, Ihr log2mail-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:

http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2.dsc

http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français 日本語 (Nihongo) Русский (Russkij) svenska

Wie stellt man die Standardsprache ein