Рекомендация Debian по безопасности

DSA-098-1 libgtop -- уязвимость форматной строки и переполнение буфера

Дата сообщения:
09.01.2002
Затронутые пакеты:
libgtop
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2001-0927, CVE-2001-0928.
Более подробная информация:

В libgtop-daemon было обнаружено две проблемы:

  • Сотрудники лаборатории intexxia обнаружили проблему с форматной строкой в коде журналирования из состава libgtop_daemon. Имеется две функции журналирования, которые вызываются при авторизации клиента, которые могут использоваться удалённым пользователем.
  • Флавио Велосо обнаружил переполнение буфера в функции, которая выполняет авторизацию клиентов

Поскольку libgtop_daemon работает от лица пользователя nobody, обе ошибки могут использоваться для получения доступа к системе с работающей службой libgtop_daemon от лица пользователя nobody.

Обе проблемы были исправлены в версии 1.0.6-1.1, рекомендуется как можно скорее обновить пакет libgtop-daemon.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:
http://security.debian.org/dists/stable/updates/main/source/libgtop_1.0.6-1.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/libgtop_1.0.6-1.1.dsc
http://security.debian.org/dists/stable/updates/main/source/libgtop_1.0.6.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/libgtop-daemon_1.0.6-1.1_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/libgtop-dev_1.0.6-1.1_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/libgtop1_1.0.6-1.1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/libgtop-daemon_1.0.6-1.1_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/libgtop-dev_1.0.6-1.1_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/libgtop1_1.0.6-1.1_arm.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/libgtop-daemon_1.0.6-1.1_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/libgtop-dev_1.0.6-1.1_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/libgtop1_1.0.6-1.1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/libgtop-daemon_1.0.6-1.1_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/libgtop-dev_1.0.6-1.1_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/libgtop1_1.0.6-1.1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/libgtop-daemon_1.0.6-1.1_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/libgtop-dev_1.0.6-1.1_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/libgtop1_1.0.6-1.1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/libgtop-daemon_1.0.6-1.1_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/libgtop-dev_1.0.6-1.1_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/libgtop1_1.0.6-1.1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.