Debian-Sicherheitsankündigung

INN -- Pufferüberlauf im INN inews-Programm

Datum des Berichts:
07. Sep 1999
Betroffene Pakete:
inewsinn
inn-dev
inn
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-1999-0705.
Weitere Informationen:

Wir haben einen Bericht, der einen Pufferüberlauf im inews-Programm, wie es vom INN-News-Server bereitgestellt wird, beschreibt. Dieses Programm wird von lokalen Clients verwendet, um News-Artikel in den Server einzuspeisen. Um sich mit dem News-Server über ein Unix-Domain-Socket zu verbinden, muss das Programm mit den Gruppenrechten news laufen. Durch Ausnutzung dieses Fehlers kann ein lokaler Benutzer news-Berechtigungen erlangen. Danach sind diese Benutzer in der Lage, die Konfiguration des INN-Servers zu ändern sowie die News-Datenbank und -Dateien zu löschen. Wir empfehlen, das inews-inn-Paket umgehend zu aktualisieren.

Behoben in:
Quellcode:
http://security.debian.org/dists/slink/updates/source/inn_1.7.2-4.1.diff.gz
http://security.debian.org/dists/slink/updates/source/inn_1.7.2-4.1.dsc
http://security.debian.org/dists/slink/updates/source/inn_1.7.2.orig.tar.gz
i386:
http://security.debian.org/dists/slink/updates/binary-i386/inewsinn_1.7.2-4.1_i386.deb
http://security.debian.org/dists/slink/updates/binary-i386/inn-dev_1.7.2-4.1_i386.deb
http://security.debian.org/dists/slink/updates/binary-i386/inn_1.7.2-4.1_i386.deb
m68k:
http://security.debian.org/dists/slink/updates/binary-m68k/inewsinn_1.7.2-4.1_m68k.deb
http://security.debian.org/dists/slink/updates/binary-m68k/inn-dev_1.7.2-4.1_m68k.deb
http://security.debian.org/dists/slink/updates/binary-m68k/inn_1.7.2-4.1_m68k.deb
sparc:
http://security.debian.org/dists/slink/updates/binary-sparc/inewsinn_1.7.2-4.1_sparc.deb
http://security.debian.org/dists/slink/updates/binary-sparc/inn-dev_1.7.2-4.1_sparc.deb
http://security.debian.org/dists/slink/updates/binary-sparc/inn_1.7.2-4.1_sparc.deb