Pomiń szybką nawigację

• O Debianie
• Wiadomości
• Jak zdobyć Debiana
• Pomoc
• Kącik deweloperów
• Mapa serwisu
• Wyszukiwanie

Porada dotycząca bezpieczeństwa Debiana

DSA-934-1 pound -- kilka słabych punktów

Data Zgłoszenia:

09.01.2006

Narażone Pakiety:

pound

Podatny:

Tak

Odnośniki do baz danych na temat bezpieczeństwa:

W systemie śledzenia błędów Debiana: Błąd 307852.
W słowniku CVE Mitre-a CVE-2005-1391, CVE-2005-3751.

Więcej informacji:

Dwa słabe punkty zostały odkryte w pakiecie Pound, odwrotnym proxy i balanserze ładowności dla HTTP. Projekt Wspólnych Zagrożeń i Narażeń identyfikuje poniższe problemy:

• CVE-2005-1391:

  Przesadnie długi host HTTP: nagłowki mogą powodować przepełnienie buforu w funkcji add_port(), które może prowadzić do uruchomienia dowolnego kodu.

• CVE-2005-3751:

  Żądania HTTP z konfliktującymi nagłówkami Content-Length oraz Transfer-Encoding mogą prowadzić do przemytu żądania HTTP, który może zostać wykożystany do ominięcia filtrów pakietów lub zatrucia plików tymczasowych stron WWW.

Stara stabilna dystrybucja (woody) nie zawiera pakietów pound.

Dla stabilnej dystrybucji (sarge) błędy te zostały poprawione w wersji 1.8.2-1sarge1.

Dla niestabilnej dystrybucji (sid) błędy te zostały poprawione w wersji 1.9.4-1.

Rekomendujemy, byś uaktualnił swój pakiet pound.

Naprawiony w:

Debian GNU/Linux 3.1 (sarge)

Źródło:

http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1.dsc

http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1.diff.gz

http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_alpha.deb

AMD64:

http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_amd64.deb

ARM:

http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/p/pound/pound_1.8.2-1sarge1_s390.deb

Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.

Ta strona jest również dostępna w następujących językach:

dansk Deutsch English español français Português svenska

Jak ustawić domyślny język dokumentu