Mehrere Sicherheitsprobleme wurden in Elog gefunden, einem elektronischen
Protokoll zum Verwalten von Notizen. Das Common Vulnerabilities and
Exposures Project
identifiziert die folgenden Probleme:
GroundZero Security
entdeckte, dass Elog die Größe eines Puffers
unzureichend überprüft, der zum Bearbeiten von URL-Parametern
verwendet wird. Dies kann die Ausführung von beliebigem Code zur
Folge haben.
Es wurde entdeckt, dass Elog eine Verwundbarkeit durch
Verzeichnisüberschreitung beim Bearbeiten von ../
-Sequenzen
in URLs enthält, die zur Preisgabe von Informationen führen kann.
Der Code, der die Protokolldatei schreibt, enthielt eine Formatzeichenketten-Verwundbarkeit, die die Ausführung von beliebigem Code zur Folge haben kann.
Überlange revision
-Attribute können einen Absturz durch einen
Pufferüberlauf auslösen.
Der Code, der die Protokolldatei schreibt, überprüft die Grenzbedingungen nicht ausreichend, was die Ausführung von beliebigem Code zur Folge haben kann.
Elog gab unterschiedliche Fehlermeldungen für falsche Passwörter und falsche Benutzernamen aus, so dass ein Angreifer nach gültigen Benutzernamen suchen konnte.
Ein Angreifer konnte mittels einer speziell präparierten
fail
-Anfrage in eine unendliche Weiterleitung geraten, die potenziell
eine Diensteverweigerung (denial of service
) auslösen kann.
Die alte Stable-Distribution (Woody) enthält das Elog-Paket nicht.
Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 2.5.7+r1558-4+sarge2 behoben.
Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 2.6.1+r1642-1 behoben.
Wir empfehlen Ihnen, Ihr Elog-Paket zu aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.