Рекомендация Debian по безопасности

DSA-089-2 icecast-server -- удалённая уязвимость суперпользователя (и другие проблемы)

Дата сообщения:
05.12.2001
Затронутые пакеты:
icecast-server
Уязвим:
Да
Ссылки на базы данных по безопасности:
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 2264, Идентификатор BugTraq 2932, Идентификатор BugTraq 2933.
В каталоге Mitre CVE: CVE-2001-0784, CVE-2001-1083, CVE-2001-1230.
Более подробная информация:

Пакет icecast-server (сервер потокового вещания музыки), поставляемый в составе Debian GNU/Linux 2.2, содержит несколько проблем безопасности:

  • если клиент добавляет / после имени файла, который он хочет скачать, то работа сервера будет аварийно завершена
  • с помощью экранирования точек как E можно обойти ограничения безопасности и скачать произвольные файлы
  • в программе присутствуют несколько переполнений буфера, которые можно использовать для получения доступа от лица суперпользователя

Эти проблемы были исправлены в версии 1.3.10-1, настоятельно рекомендуется как можно скорее обновить пакет icecast-server.

Пакет для архитектуры i386, указанный в рекомендации DSA-089-1, был скомпилирован неправильно и не работает на машинах Debian GNU/Linux potato. Это было исправлено в версии 1.3.10-1.1.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:
http://security.debian.org/dists/stable/updates/main/source/icecast-server_1.3.10-1.dsc
http://security.debian.org/dists/stable/updates/main/source/icecast-server_1.3.10-1.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/icecast-server_1.3.10-1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/icecast-server_1.3.10-1_arm.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/icecast-server_1.3.10-1.1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/icecast-server_1.3.10-1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/icecast-server_1.3.10-1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/icecast-server_1.3.10-1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении. (DSA-089-2)