Debians sikkerhedsbulletin

DSA-017-1 jazip -- buffer-overløb

Rapporteret den:
23. jan 2001
Berørte pakker:
jazip
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 2209.
I Mitres CVE-ordbog: CVE-2001-0110.
Yderligere oplysninger:
I ældre version af jazip kunne en bruger opnå root-adgang for medlemmer af floppy-gruppen på den lokale maskine. Brugerfladen kører ikke længere som root og lige netop dette angreb blev forhindret. Programmet trunkerer nu også DISPLAY til 256 tegn hvis det er større, hvilket forhindrer buffer-overløbet (i xforms).

Vi anbefaler at du omgående opgraderer din jazip-pakke.

Rettet i:

Debian 2.2 (potato)

Kildekode:
http://security.debian.org/dists/stable/updates/main/source/jazip_0.33-1.dsc
http://security.debian.org/dists/stable/updates/main/source/jazip_0.33-1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/jazip_0.33.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/jazip_0.33-1_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/jazip_0.33-1_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/jazip_0.33-1_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/jazip_0.33-1_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/jazip_0.33-1_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/jazip_0.33-1_sparc.deb