Debian-Sicherheitsankündigung

DSA-033-1 analog -- Pufferüberlauf

Datum des Berichts:
07. Mär 2001
Betroffene Pakete:
analog
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 2377.
In Mitres CVE-Verzeichnis: CVE-2001-0301.
Weitere Informationen:
Der Autor von analog, Stephen Turner, hat einen Pufferüberlauf in allen Versionen von analog gefunden, ausgenommen Version 4.16. Ein böswilliger Benutzer könnte einen ALIAS Befehl verwenden, um sehr lange Zeichenketten zu konstruieren, die nicht auf ihre Länge und Grenzen geprüft werden. Dieser Fehler ist teilweise gefährlich, wenn das Formular-Interface (das allen unbekannten Benutzern erlaubt, das Programm über ein CGI-Skript laufen zu lassen) installiert wurde. Es dürfte keinen bekannten Exploit dafür geben.

Die Behebung des Problems wurde auf die Version von analog in Debian 2.2 zurückportiert. Version 4.01-1potato1 ist korrigiert.

Wir empfehlen Ihnen, Ihre analog-Pakete unverzüglich zu aktualisieren.

Behoben in:

Debian 2.2 (potato)

Quellcode:
http://security.debian.org/dists/stable/updates/main/source/analog_4.01.orig.tar.gz
http://security.debian.org/dists/stable/updates/main/source/analog_4.01-1potato1.dsc
http://security.debian.org/dists/stable/updates/main/source/analog_4.01-1potato1.diff.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/analog_4.01-1potato1_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/analog_4.01-1potato1_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/analog_4.01-1potato1_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/analog_4.01-1potato1_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/analog_4.01-1potato1_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/analog_4.01-1potato1_sparc.deb