Debian-Sicherheitsankündigung

DSA-876-1 lynx-ssl -- Pufferüberlauf

Datum des Berichts:
27. Okt 2005
Betroffene Pakete:
lynx-ssl
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2005-3120.
Weitere Informationen:

Ulf Härnhammar entdeckte einen Pufferüberlauf in lynx, einem textbasierten WWW-Browser, der entfernt ausgenutzt werden kann. Wenn lynx eine Verbindung mit einem NNTP-Server aufbaut, kann das Programm bei der Verarbeitung von asiatischen Zeichen dazu gebracht werden, über die Grenze eines Puffers hinaus zu schreiben, was die Ausführung von beliebigem Code zur Folge haben kann.

Für die alte Stable-Distribution (Woody) wurde dieses Problem in Version 2.8.4.1b-3.2 behoben.

Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 2.8.5-2sarge1 of lynx behoben.

Für die Unstable-Distribution (Sid) wird dieses Problem bald behoben sein.

Wir empfehlen Ihnen, Ihr lynx-ssl-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.2.dsc
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.2.diff.gz
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.2_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/l/lynx-ssl/lynx-ssl_2.8.4.1b-3.2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.