Diese Ankündigung enthält nur Aktualisierungen für die Pakete in Debian 3.0 alias Woody. Der Vollständigkeit halber ist unten der Text der ursprünglichen Ankündigung wiedergegeben:
In qpopper, einem erweiterten Server für das
Post Office Protocol(POP3), wurden zwei Fehler entdeckt. DasCommon Vulnerabilities and Exposures projectidentifiziert die folgenden Probleme:
- CAN-2005-1151
Jens Steube entdeckte, dass die Privilegien nicht abgegeben werden, wenn lokale Dateien verarbeitet werden, die von einem normalen Benutzer zur Verfügung gestellt werden oder diesem gehören. Dies kann zum Überschreiben oder Erstellen von beliebigen Dateien führen, die anschließend
rootgehören.- CAN-2005-1152
Die ursprünglichen Entwickler bemerkten, dass qpopper dazu benutzt werden kann, Dateien zu erstellen, die gruppenweit oder sogar für alle Benutzer lesbar sind.
Für die Stable-Distribution (Woody) wurden diese Probleme in Version 4.0.4-2.woody.5 behoben.
Für die Testing-Distribution (Sarge) wurden diese Probleme in Version 4.0.5-4sarge1 behoben.
Für die Unstable-Distribution (Sid) werden diese Probleme in Version 4.0.5-4sarge1 behoben sein.
Wir empfehlen Ihnen, Ihr qpopper-Paket zu aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.
MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.