Aviso de seguridad de Debian
DSA-089-2 icecast-server -- explotación de root temota (y otras)
- Fecha del informe:
- 5 de dic de 2001
- Paquetes afectados:
- icecast-server
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 2264, Id. en BugTraq 2932, Id. en BugTraq 2933.
En el diccionario CVE de Mitre: CVE-2001-0784, CVE-2001-1083, CVE-2001-1230. - Información adicional:
-
El paquete del servidor icecast (un servidor de música en streaming) tal y como se distribuye en GNU/Linux 2.2 tiene algunos problemas de seguridad:
- si un cliente añadió una / tras el nombre del archivo de un archivo para ser descargado por el servidor el programa moriría
- usando puntos de escape como E era posible saltarse algunas medidas de seguridad y descargar archivos arbitrarios
- hay algunos desbordamientos de búfer que pueden ser explotados para ganar el acceso de root
Estos han sido arreglado en la versión 1.3.10-1, y recomendamos encarecidamente que actualice su paquete icecast-server inmediatamente.
El paquete i386 mencionado en el aviso de seguridad DSA-089-1 fue compilado incorrectamente y no funcionará en máquinas Debian GNU/Linux potato. Esto ha sido corregido en la versión 1.3.10-1.1.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/dists/stable/updates/main/source/icecast-server_1.3.10-1.dsc
- http://security.debian.org/dists/stable/updates/main/source/icecast-server_1.3.10-1.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/icecast-server_1.3.10-1.tar.gz
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/icecast-server_1.3.10-1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/icecast-server_1.3.10-1_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/icecast-server_1.3.10-1.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/icecast-server_1.3.10-1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/icecast-server_1.3.10-1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/icecast-server_1.3.10-1_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original. (DSA-089-2)