Alerta de Segurança Debian
DSA-089-2 icecast-server -- exploit de root remoto (e outros)
- Data do Alerta:
- 05 Dez 2001
- Pacotes Afetados:
- icecast-server
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 2264, ID BugTraq 2932, ID BugTraq 2933.
No dicionário CVE do Mitre: CVE-2001-0784, CVE-2001-1083, CVE-2001-1230. - Informações adicionais:
-
O pacote icecast-server (um servidor streaming de música) distribuído na Debian GNU/Linux 2.2 tem alguns problemas de segurança:
- se um cliente adicionar um / depois do nome do arquivo a ser pego, o servidor poderá cair.
- deixando escapar pontos como E é possível enganar os meios de segurança e baixar arquivos arbitrários
- existiam diversos estouros de buffer que poderiam ser exploitados para ganhar acesso de root
Esses problemas foram consertados na versão 1.3.10-1, e nós realmente recomendamos que você atualize o seu pacote icecast-server imediatamente.
O pacote i386 mencionado no aviso de segurança DSA-089-1 foi compilado incorretamente e não roda nas máquinas Debian GNU/Linux potato. Isso foi consertado na versão 1.3.10-1.1.
- Corrigido em:
-
Debian GNU/Linux 2.2 (potato)
- Fonte:
- http://security.debian.org/dists/stable/updates/main/source/icecast-server_1.3.10-1.dsc
- http://security.debian.org/dists/stable/updates/main/source/icecast-server_1.3.10-1.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/icecast-server_1.3.10-1.tar.gz
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/icecast-server_1.3.10-1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/icecast-server_1.3.10-1_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/icecast-server_1.3.10-1.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/icecast-server_1.3.10-1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/icecast-server_1.3.10-1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/icecast-server_1.3.10-1_sparc.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original. (DSA-089-2)