Aviso de seguridad de Debian
DSA-111-1 ucd-snmp -- explotación remota
- Fecha del informe:
- 14 de feb de 2002
- Paquetes afectados:
- ucd-snmp
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2002-0012, CVE-2002-0013.
Notas y avisos de incidentes y vulnerabilidades en CERT: VU#854306, VU#107186, CA-2002-03. - Información adicional:
-
El Grupo de Programación Segura de la Universidad de Oulu hizo un estudio de las implementaciones de SNMP y descubrió múltiples errores que pueden causar problemas desde ataques de denegación de servicio a explotaciones remotas.
Los nuevos paquetes UCD-SNMP han sido preparados para arreglar estos problemas así como algunos otros. La lista completa de problemas arreglados es:
- Al ejecutar programas externos, snmpd usaba archivos temporales de forma insegura
- snmpd no reiniciaba adecuadamente los grupos suplementarios tras cambiar su uid y gid
- Modificado la mayoría del código para usar búfers en lugar de cadenas de longitud fija para evitar desbordamientos de búfer
- El analizador ASN.1 no verificaba las longitudes negativas
- La gestión de respuesta IFINDEX de snmpnetstat no comprobaba la corrección en su entrada
(gracias a Caldera por la mayoría del trabajo en esos parches)
La versión nueva es la 4.1.1-2.1 y recomendamos que actualice sus paquetes snmp inmediatamente.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1-2.2.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1-2.2.dsc
- http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1-2.2.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/libsnmp4.1-dev_4.1.1-2.2_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/libsnmp4.1_4.1.1-2.2_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/snmp_4.1.1-2.2_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/snmpd_4.1.1-2.2_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/libsnmp4.1_4.1.1-2.2_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/libsnmp4.1-dev_4.1.1-2.2_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/libsnmp4.1_4.1.1-2.2_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/snmp_4.1.1-2.2_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/snmpd_4.1.1-2.2_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/libsnmp4.1_4.1.1-2.2_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/libsnmp4.1-dev_4.1.1-2.2_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/libsnmp4.1_4.1.1-2.2_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/snmp_4.1.1-2.2_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/snmpd_4.1.1-2.2_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/libsnmp4.1_4.1.1-2.2_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/libsnmp4.1-dev_4.1.1-2.2_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/libsnmp4.1_4.1.1-2.2_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/snmp_4.1.1-2.2_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/snmpd_4.1.1-2.2_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/libsnmp4.1_4.1.1-2.2_m68k.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/libsnmp4.1-dev_4.1.1-2.2_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/libsnmp4.1_4.1.1-2.2_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/snmp_4.1.1-2.2_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/snmpd_4.1.1-2.2_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/libsnmp4.1_4.1.1-2.2_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.