Porada dotycząca bezpieczeństwa Debiana
DSA-934-1 pound -- kilka słabych punktów
- Data Zgłoszenia:
- 09.01.2006
- Narażone Pakiety:
- pound
- Podatny:
- Tak
- Odnośniki do baz danych na temat bezpieczeństwa:
- W systemie śledzenia błędów Debiana: Błąd 307852.
W słowniku CVE Mitre-a CVE-2005-1391, CVE-2005-3751. - Więcej informacji:
-
Dwa słabe punkty zostały odkryte w pakiecie Pound, odwrotnym proxy i balanserze ładowności dla HTTP. Projekt Wspólnych Zagrożeń i Narażeń identyfikuje poniższe problemy:
- CVE-2005-1391:
Przesadnie długi host HTTP: nagłowki mogą powodować przepełnienie buforu w funkcji add_port(), które może prowadzić do uruchomienia dowolnego kodu.
- CVE-2005-3751:
Żądania HTTP z konfliktującymi nagłówkami Content-Length oraz Transfer-Encoding mogą prowadzić do przemytu żądania HTTP, który może zostać wykożystany do ominięcia filtrów pakietów lub zatrucia plików tymczasowych stron WWW.
Stara stabilna dystrybucja (woody) nie zawiera pakietów pound.
Dla stabilnej dystrybucji (sarge) błędy te zostały poprawione w wersji 1.8.2-1sarge1.
Dla niestabilnej dystrybucji (sid) błędy te zostały poprawione w wersji 1.9.4-1.
Rekomendujemy, byś uaktualnił swój pakiet pound.
- CVE-2005-1391:
- Naprawiony w:
-
Debian GNU/Linux 3.1 (sarge)
- Źródło:
- http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1.dsc
- http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1.diff.gz
- http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_s390.deb
Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.