Säkerhetsbulletin från Debian

DSA-023-1 inn2 -- lokala sårbarheter i temporära filer

Rapporterat den:

2001-01-26

Berörda paket:

inn2

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2001-0361.

Ytterligare information:

Folk på WireX har hittat flera potentiella osäkra användningar av temporära filer i program som följer med INN2. Några av dem leder bara till attacker mot symboliska länkar om den temporära katalogen sattes till /tmp eller /var/tmp, vilket är fallet för många installationer, åtminstone i Debianpaket. En angripare kunde skriva över valfria filer som ägdes av diskussionsgruppssystemets administratör, alltså news.news.
Michal Zalewski hittade ett utnyttjbart buffertspill vad gäller "cancel"-meddelande och deras verifiering. Detta fel dök bara upp om "verifycancels" aktiverades i inn.conf, vilket inte är förval, och avråds av uppströmsförfattaren.
Andi Kleen hittade ett fel i INN2 som gör att innd kraschar på två-byte-huvuden. Det är möjligt att detta endast kan utnyttjas via uucp.

Vi rekommenderar att du uppgraderar dina inn2-paket omedelbart.

Rättat i:

Debian 2.2 (potato)

Källkod:: http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31-4.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31-4.1.dsc; http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2-dev_2.2.2.2000.01.31-4.1_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2-inews_2.2.2.2000.01.31-4.1_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2_2.2.2.2000.01.31-4.1_alpha.deb
arm:: http://security.debian.org/dists/stable/updates/main/binary-arm/inn2-dev_2.2.2.2000.01.31-4.1_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/inn2-inews_2.2.2.2000.01.31-4.1_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/inn2_2.2.2.2000.01.31-4.1_arm.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/inn2-dev_2.2.2.2000.01.31-4.1_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/inn2-inews_2.2.2.2000.01.31-4.1_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/inn2_2.2.2.2000.01.31-4.1_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2-dev_2.2.2.2000.01.31-4.1_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2-inews_2.2.2.2000.01.31-4.1_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2_2.2.2.2000.01.31-4.1_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2-dev_2.2.2.2000.01.31-4.1_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2-inews_2.2.2.2000.01.31-4.1_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2_2.2.2.2000.01.31-4.1_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2-dev_2.2.2.2000.01.31-4.1_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2-inews_2.2.2.2000.01.31-4.1_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2_2.2.2.2000.01.31-4.1_sparc.deb