Sicherheits-Informationen / 1999 / Sicherheitsinformationen -- qpopper

Debian-Sicherheitsankündigung

qpopper -- Pufferüberlauf in qpopper

Datum des Berichts:

15. Dez 1999

Betroffene Pakete:

qpopper

Verwundbar:

Nein

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 133.
In Mitres CVE-Verzeichnis: CVE-1999-0006.

Weitere Informationen:

Ein Pufferüberlauf in der Beta-Version von Qualcomms qpopper Version 3 wurde gemeldet. Diese Version von qpopper ist nicht in Debian enthalten; die von Debian GNU/Linux 2.1 ausgelieferte Version (qpopper 2.3-4) ist nicht für diesen Überlauf anfällig.

Die Verwundbarkeit wird durch fehlende Überprüfung der Begrenzungen des Input-Puffers ausgelöst, wenn vsprintf oder sprintf benutzt wird. Für weitere Details lesen Sie das Stuttgarter BugTraq-Archiv oder das SecurityFocus-Archiv. Beide Links verweisen auf die gleiche E-Mail vom Qpopper-Support bei Qualcomm und enthalten den Original-Fehlerbericht von Mixter.