Рекомендация Debian по безопасности
DSA-042-1 gnuserv -- переполнение буфера, слабая безопасности
- Дата сообщения:
- 09.03.2001
- Затронутые пакеты:
- gnuserv, xemacs21
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 2333.
В каталоге Mitre CVE: CVE-2001-0191. - Более подробная информация:
- Клаус Франк обнаружил уязвимость в используемом gnuserv
способе обработки удалённых подключений. Gnuserv — удалённый инструмент управления Emacsen,
доступный и как отдельная программа, и как часть XEmacs21.
Gnuserv использует буфер, при работе с которым не выполняются необходимые проверки границ.
К сожалению, этот буфер касается управления доступом к gnuserv, который использует
систему на основе MIT-MAGIC-COOCKIE. Можно вызвать переполнение буфера,
содержащего куки и сравнение куки foozle.
Gnuserv является производным проектом emacsserver, последний входит в GNU Emacs. Он был полностью переработан, и общего кода с GNU Emacs почти не осталось. Поэтому версии emacsserver в Emacs19 и Emacs20, как кажется, не подвержены данной ошибке, так как они даже не предоставляют механизм на основе MIT-MAGIC-COOKIE.
Эта уязвимость может приводить к тому, что удалённым пользователь сможет запустить команды от лица пользователя, запустившего gnuserv.
- Исправлено в:
-
Debian 2.2 (potato)
- Исходный код:
-
http://security.debian.org/dists/stable/updates/main/source/gnuserv_2.1alpha-5.1.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/gnuserv_2.1alpha-5.1.dsc
-
http://security.debian.org/dists/stable/updates/main/source/gnuserv_2.1alpha.orig.tar.gz
-
http://security.debian.org/dists/stable/updates/main/source/xemacs21_21.1.10-5.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/xemacs21_21.1.10-5.dsc
-
http://security.debian.org/dists/stable/updates/main/source/xemacs21_21.1.10.orig.tar.gz
- Независимые от архитектуры компоненты:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/xemacs21-support_21.1.10-5_all.deb
-
http://security.debian.org/dists/stable/updates/main/binary-i386/xemacs21-supportel_21.1.10-5_all.deb
-
http://security.debian.org/dists/stable/updates/main/binary-i386/xemacs21_21.1.10-5_all.deb
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/gnuserv_2.1alpha-5.1_alpha.deb
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/xemacs21-bin_21.1.10-5_alpha.deb
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/xemacs21-mule-canna-wnn_21.1.10-5_alpha.deb
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/xemacs21-mule_21.1.10-5_alpha.deb
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/xemacs21-nomule_21.1.10-5_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/gnuserv_2.1alpha-5.1_arm.deb
-
http://security.debian.org/dists/stable/updates/main/binary-arm/xemacs21-bin_21.1.10-5_arm.deb
-
http://security.debian.org/dists/stable/updates/main/binary-arm/xemacs21-mule-canna-wnn_21.1.10-5_arm.deb
-
http://security.debian.org/dists/stable/updates/main/binary-arm/xemacs21-mule_21.1.10-5_arm.deb
-
http://security.debian.org/dists/stable/updates/main/binary-arm/xemacs21-nomule_21.1.10-5_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/gnuserv_2.1alpha-5.1_i386.deb
-
http://security.debian.org/dists/stable/updates/main/binary-i386/xemacs21-bin_21.1.10-5_i386.deb
-
http://security.debian.org/dists/stable/updates/main/binary-i386/xemacs21-mule-canna-wnn_21.1.10-5_i386.deb
-
http://security.debian.org/dists/stable/updates/main/binary-i386/xemacs21-mule_21.1.10-5_i386.deb
-
http://security.debian.org/dists/stable/updates/main/binary-i386/xemacs21-nomule_21.1.10-5_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/gnuserv_2.1alpha-5.1_m68k.deb
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/xemacs21-bin_21.1.10-5_m68k.deb
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/xemacs21-mule-canna-wnn_21.1.10-5_m68k.deb
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/xemacs21-mule_21.1.10-5_m68k.deb
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/xemacs21-nomule_21.1.10-5_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/gnuserv_2.1alpha-5.1_powerpc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/xemacs21-bin_21.1.10-5_powerpc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/xemacs21-mule-canna-wnn_21.1.10-5_powerpc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/xemacs21-mule_21.1.10-5_powerpc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/xemacs21-nomule_21.1.10-5_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/gnuserv_2.1alpha-5.1_sparc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/xemacs21-bin_21.1.10-5_sparc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/xemacs21-mule-canna-wnn_21.1.10-5_sparc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/xemacs21-mule_21.1.10-5_sparc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/xemacs21-nomule_21.1.10-5_sparc.deb