Debian-Sicherheitsankündigung

DSA-513-1 log2mail -- Format-String

Datum des Berichts:
03. Jun 2004
Betroffene Pakete:
log2mail
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 10460.
In Mitres CVE-Verzeichnis: CVE-2004-0450.
Weitere Informationen:

jaguar@felinemenace.org entdeckte eine Format-String-Verwundbarkeit in log2mail, wodurch ein Benutzer beliebigen Code mit den Rechten des log2mail-Prozesses ausführen lassen kann, wenn er in der Lage ist, eine speziell präparierte Nachricht in eine Logdatei zu schreiben, die von log2mail überwacht wird (beispielsweise über syslog). In der Voreinstellung läuft dieser Prozess als Benutzer »log2mail«, der ein Mitglied der Gruppe »adm« ist (die Lesezugriff auf Logdateien des Systems hat).

CAN-2004-0450: log2mail Format-String-Verwundbarkeit über syslog(3) in printlog()

Für die aktuelle stable Distribution (Woody) wurde dieses Problem in Version 0.2.5.2 behoben.

Für die unstable Distribution (Sid) wird dieses Problem bald behoben sein.

Wir empfehlen Ihnen, Ihr log2mail-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2.dsc
http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.