Aviso de seguridad de Debian

DSA-033-1 analog -- Desbordamiento de búfer

Fecha del informe:
7 de mar de 2001
Paquetes afectados:
analog
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 2377.
En el diccionario CVE de Mitre: CVE-2001-0301.
Información adicional:
El autor de analog, Stephen Turner, ha encontrado un fallo de desbordamiento de búfer en todas las versiones de analog, excepto la versión 4.16. Un usuario con malas intenciones podría usar un comando ALIAS para construir variables alfanuméricas muy largas a las que no se les revise ni su longitud ni su frontera. Este fallo es principalmente peligroso si se ha instalado la interfaz de formulario (que permite que usuarios desconocidos ejecuten el programa a través de un script CGI). Aparentemente no han habido casos de aprovechamiento de este fallo.

La corrección del fallo ha sido implementada en la versión de analog en Debian 2.2. La versión 4.01-1potato1 ya está corregida. Se recomienda actualizar inmediatamente.

Arreglado en:

Debian 2.2 (potato)

Fuentes:
http://security.debian.org/dists/stable/updates/main/source/analog_4.01.orig.tar.gz
http://security.debian.org/dists/stable/updates/main/source/analog_4.01-1potato1.dsc
http://security.debian.org/dists/stable/updates/main/source/analog_4.01-1potato1.diff.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/analog_4.01-1potato1_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/analog_4.01-1potato1_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/analog_4.01-1potato1_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/analog_4.01-1potato1_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/analog_4.01-1potato1_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/analog_4.01-1potato1_sparc.deb