Säkerhetsbulletin från Debian

DSA-033-1 analog -- buffertspill

Rapporterat den:
2001-03-07
Berörda paket:
analog
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 2377.
I Mitres CVE-förteckning: CVE-2001-0301.
Ytterligare information:
Analogs författare, Stephen Turner, har hittat ett buffertspill i alla versioner av analog förutom version 4.16. En illvillig användare kunde använda ALIAS-kommandot för att skapa mycket långa strängar som inte kontrollerades med avseende på längd och gränser. Detta fel är speciellt farlig om formulärgränssnittet (vilket låter okända användare köra program via CGI-skript) har installerats. Det verkar inte finnas någon känd attack.

Felrättelsen har anpassats till versionen av analog i Debian 2.2. Version 4.01-1potato1 är rättad.

Vi rekommenderar att du uppgraderar ditt analog-paket omedelbart.

Rättat i:

Debian 2.2 (potato)

Källkod:
http://security.debian.org/dists/stable/updates/main/source/analog_4.01.orig.tar.gz
http://security.debian.org/dists/stable/updates/main/source/analog_4.01-1potato1.dsc
http://security.debian.org/dists/stable/updates/main/source/analog_4.01-1potato1.diff.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/analog_4.01-1potato1_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/analog_4.01-1potato1_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/analog_4.01-1potato1_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/analog_4.01-1potato1_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/analog_4.01-1potato1_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/analog_4.01-1potato1_sparc.deb