Flere sikkerhedsproblemer er opdaget i elog, en elektronisk logbog til håndtering af noter. Common Vulnerabilities and Exposures Project har fundet frem til følgende problemer:
"GroundZero Security" har opdaget at elog på utilstrækkelig vis kontrollerede størrelsen på en buffer der blev anvendt til at behandle URL-parametre, hvilket kunne føre til udførelse af vilkårlig kode.
Man har opdaget at elog indeholdt en mappegennemløbssårbarhed i behandlingen af "../"-forekomester i URL'er, hvilket kunne føre til informationslækage.
Koden der skriver til logfilen indeholdt en formatstrengssårbarhed, hvilket kunne føre til udførelse af vilkårlig kode.
Ekstra lange revisionsattributter kunne udløse et crash på grund af et bufferoverløb.
Koden der skriver til logfilen udførte ikke korrekte grænsekontroller, hvilket kunne føre til udførelse af vilkårlig kode.
elog kom med forskellige fejlmeddelelser vedrørende ugyldige adgangskoder og ugyldige brugere, hvilket gjorde det muligt for en angriber at søge efter gyldige brugernavne.
En angriber kunne blive ledt ind i en uendelig viderestilling med en særligt fremstillet "fail"-forespørgsel, hvilket potentielt kunne have udløst et lammelsesangreb (denial of service).
Den gamle stabile distribution (woody) indeholder ikke elog-pakker.
I den stabile distribution (sarge) er disse problemer rettet i version 2.5.7+r1558-4+sarge2.
I den ustabile distribution (sid) er disse problemer rettet i version 2.6.1+r1642-1.
Vi anbefaler at du opgraderer din elog-pakke.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.