Debian-Sicherheitsankündigung

DSA-796-1 affix -- Entfernte Ausführung von Befehlen

Datum des Berichts:
01. Sep 2005
Betroffene Pakete:
affix
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2005-2716.
Weitere Informationen:

Kevin Finisterre berichtet, dass affix, ein Paket zur Verwaltung von Bluetooth-Sessions unter Linux, den Aufruf von popen in einer unsicheren Art und Weise verwendet. Ein entfernter Angreifer kann diese Verwundbarkeit ausnutzen, um beliebige Befehle auf einem verwundbaren System auszuführen.

Die alte Stable-Distribution (Woody) enthält das affix-Paket nicht.

Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 2.1.1-3 behoben.

Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 2.1.2-3 behoben.

Wir empfehlen Ihnen, Ihr affix-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:
http://security.debian.org/pool/updates/main/a/affix/affix_2.1.1-3.diff.gz
http://security.debian.org/pool/updates/main/a/affix/affix_2.1.1-3.dsc
Alpha:
http://security.debian.org/pool/updates/main/a/affix/libaffix-dev_2.1.1-3_alpha.deb
http://security.debian.org/pool/updates/main/a/affix/libaffix2_2.1.1-3_alpha.deb
http://security.debian.org/pool/updates/main/a/affix/affix_2.1.1-3_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/a/affix/affix_2.1.1-3_amd64.deb
http://security.debian.org/pool/updates/main/a/affix/libaffix2_2.1.1-3_amd64.deb
http://security.debian.org/pool/updates/main/a/affix/libaffix-dev_2.1.1-3_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/a/affix/affix_2.1.1-3_arm.deb
http://security.debian.org/pool/updates/main/a/affix/libaffix-dev_2.1.1-3_arm.deb
http://security.debian.org/pool/updates/main/a/affix/libaffix2_2.1.1-3_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/a/affix/libaffix-dev_2.1.1-3_hppa.deb
http://security.debian.org/pool/updates/main/a/affix/affix_2.1.1-3_hppa.deb
http://security.debian.org/pool/updates/main/a/affix/libaffix2_2.1.1-3_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/a/affix/libaffix-dev_2.1.1-3_i386.deb
http://security.debian.org/pool/updates/main/a/affix/libaffix2_2.1.1-3_i386.deb
http://security.debian.org/pool/updates/main/a/affix/affix_2.1.1-3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/a/affix/libaffix-dev_2.1.1-3_ia64.deb
http://security.debian.org/pool/updates/main/a/affix/libaffix2_2.1.1-3_ia64.deb
http://security.debian.org/pool/updates/main/a/affix/affix_2.1.1-3_ia64.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/a/affix/affix_2.1.1-3_m68k.deb
http://security.debian.org/pool/updates/main/a/affix/libaffix-dev_2.1.1-3_m68k.deb
http://security.debian.org/pool/updates/main/a/affix/libaffix2_2.1.1-3_m68k.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/a/affix/affix_2.1.1-3_mips.deb
http://security.debian.org/pool/updates/main/a/affix/libaffix2_2.1.1-3_mips.deb
http://security.debian.org/pool/updates/main/a/affix/libaffix-dev_2.1.1-3_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/a/affix/affix_2.1.1-3_mipsel.deb
http://security.debian.org/pool/updates/main/a/affix/libaffix-dev_2.1.1-3_mipsel.deb
http://security.debian.org/pool/updates/main/a/affix/libaffix2_2.1.1-3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/a/affix/libaffix2_2.1.1-3_powerpc.deb
http://security.debian.org/pool/updates/main/a/affix/affix_2.1.1-3_powerpc.deb
http://security.debian.org/pool/updates/main/a/affix/libaffix-dev_2.1.1-3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/a/affix/libaffix-dev_2.1.1-3_s390.deb
http://security.debian.org/pool/updates/main/a/affix/libaffix2_2.1.1-3_s390.deb
http://security.debian.org/pool/updates/main/a/affix/affix_2.1.1-3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/a/affix/affix_2.1.1-3_sparc.deb
http://security.debian.org/pool/updates/main/a/affix/libaffix-dev_2.1.1-3_sparc.deb
http://security.debian.org/pool/updates/main/a/affix/libaffix2_2.1.1-3_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.