Debian-Sicherheitsankündigung

DSA-017-1 jazip -- Pufferüberlauf

Datum des Berichts:
23. Jan 2001
Betroffene Pakete:
jazip
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 2209.
In Mitres CVE-Verzeichnis: CVE-2001-0110.
Weitere Informationen:
Mit älteren Versionen von jazip kann ein Benutzer root-Zugriff für Mitglieder der Gruppe floppy auf der lokalen Maschine erhalten. Die Schnittstelle läuft nicht mehr als root und dieser Angriff wurde verhindert. Das Programm schneidet jetzt die DISPLAY Variable nach 256 Zeichen ab, wenn sie größer ist, was den Pufferüberlauf (in xforms) verhindert.

Wir empfehlen Ihnen, Ihr jazip-Paket umgehend zu aktualisieren.

Behoben in:

Debian 2.2 (potato)

Quellcode:
http://security.debian.org/dists/stable/updates/main/source/jazip_0.33-1.dsc
http://security.debian.org/dists/stable/updates/main/source/jazip_0.33-1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/jazip_0.33.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/jazip_0.33-1_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/jazip_0.33-1_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/jazip_0.33-1_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/jazip_0.33-1_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/jazip_0.33-1_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/jazip_0.33-1_sparc.deb