Рекомендация Debian по безопасности

DSA-111-1 ucd-snmp -- удалённая уязвимость

Дата сообщения:

14.02.2002

Затронутые пакеты:

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2002-0012, CVE-2002-0013.
База данных CERT по уязвимостям, предложениям и инцидентам: VU#854306, VU#107186, CA-2002-03.

Более подробная информация:

Группа безопасного программирования из университета Оулу провела исследования реализаций SNMP и обнаружила многочисленные проблемы, которые могут вызывать различные уязвимости, от отказа в обслуживании до удалённых уязвимостей.

Были подготовлены новые пакеты UCD-SNMP для исправления эти проблем, а также нескольких других. Полный список исправленных проблем:

При запуске внешних программ snmpd использует временные файлы небезопасным образом
snmpd неправильно сбрасывает дополнительные группы после изменения идентификаторов пользователя и группы
Для предотвращения переполнения буфера был изменён большой участок кода с тем, чтобы использовать буфера вместо строк фиксированной длины
Код для грамматического разбора ASN.1 не выполняет проверку на длину с отрицательным значением
Обработка ответа IFINDEX в snmpnetstat не выполняет проверку входных данных

(благодарим Caldera за большую часть работы над этими заплатами)

Новая версия — 4.1.1-2.1, рекомендуем как можно скорее обновить пакеты snmp.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:: http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1-2.2.diff.gz; http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1-2.2.dsc; http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/libsnmp4.1-dev_4.1.1-2.2_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/libsnmp4.1_4.1.1-2.2_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/snmp_4.1.1-2.2_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/snmpd_4.1.1-2.2_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/libsnmp4.1-dev_4.1.1-2.2_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/libsnmp4.1_4.1.1-2.2_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/snmp_4.1.1-2.2_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/snmpd_4.1.1-2.2_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/libsnmp4.1-dev_4.1.1-2.2_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/libsnmp4.1_4.1.1-2.2_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/snmp_4.1.1-2.2_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/snmpd_4.1.1-2.2_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/libsnmp4.1-dev_4.1.1-2.2_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/libsnmp4.1_4.1.1-2.2_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/snmp_4.1.1-2.2_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/snmpd_4.1.1-2.2_m68k.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/libsnmp4.1-dev_4.1.1-2.2_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/libsnmp4.1_4.1.1-2.2_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/snmp_4.1.1-2.2_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/snmpd_4.1.1-2.2_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.