Debian-Sicherheitsankündigung
DSA-023-1 inn2 -- Lokale Temporär-Datei Verwundbarkeiten
- Datum des Berichts:
- 26. Jan 2001
- Betroffene Pakete:
-
inn2
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2001-0361.
- Weitere Informationen:
-
- Die Leute bei WireX haben mehrere potenziell unsichere Verwendungen von
Temporär-Dateien in den Programmen gefunden, die von INN2 zur Verfügung
gestellt werden. Einige davon führen zu einer Verwundbarkeit durch
symbolische-Link-Attacken, wenn das temporäre Verzeichnis auf /tmp oder
/var/tmp gesetzt wurde, was der Fall bei vielen Installationen ist, zumindest
in Debian-Paketen. Ein Angreifer könnte beliebige Dateien überschreiben, die
dem News-System-Administrator gehören, z.B. news.news.
- Michal Zalewski hat einen ausnutzbaren Pufferüberlauf im Zusammenhang mit
Cancel-Meldungen und deren Überprüfung gefunden. Dieser Fehler trat nur auf,
wenn »verifycancels« in inn.conf freigeschaltet wurde, was nicht der
Standardwert ist, und wovon Upstream abrät.
- Andi Kleen hat einen Fehler in INN2 gefunden, der innd für zwei-Zeichen
große Kopfzeilen abstürzen lässt. Es gibt nur eine Chance, dies auszunutzen,
wenn man uucp verwendet.
Wir empfehlen Ihnen, dass Sie Ihre inn2-Pakete augenblicklich
aktualisieren.
- Behoben in:
-
Debian 2.2 (potato)
- Quellcode:
-
http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31-4.1.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31-4.1.dsc
-
http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31.orig.tar.gz
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2-dev_2.2.2.2000.01.31-4.1_alpha.deb
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2-inews_2.2.2.2000.01.31-4.1_alpha.deb
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2_2.2.2.2000.01.31-4.1_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/inn2-dev_2.2.2.2000.01.31-4.1_arm.deb
-
http://security.debian.org/dists/stable/updates/main/binary-arm/inn2-inews_2.2.2.2000.01.31-4.1_arm.deb
-
http://security.debian.org/dists/stable/updates/main/binary-arm/inn2_2.2.2.2000.01.31-4.1_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/inn2-dev_2.2.2.2000.01.31-4.1_i386.deb
-
http://security.debian.org/dists/stable/updates/main/binary-i386/inn2-inews_2.2.2.2000.01.31-4.1_i386.deb
-
http://security.debian.org/dists/stable/updates/main/binary-i386/inn2_2.2.2.2000.01.31-4.1_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2-dev_2.2.2.2000.01.31-4.1_m68k.deb
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2-inews_2.2.2.2000.01.31-4.1_m68k.deb
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2_2.2.2.2000.01.31-4.1_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2-dev_2.2.2.2000.01.31-4.1_powerpc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2-inews_2.2.2.2000.01.31-4.1_powerpc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2_2.2.2.2000.01.31-4.1_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2-dev_2.2.2.2000.01.31-4.1_sparc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2-inews_2.2.2.2000.01.31-4.1_sparc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2_2.2.2.2000.01.31-4.1_sparc.deb