Рекомендация Debian по безопасности

DSA-111-1 ucd-snmp -- удалённая уязвимость

Дата сообщения:
14.02.2002
Затронутые пакеты:
ucd-snmp
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2002-012, CVE-2002-013.
База данных CERT по уязвимостям, предложениям и инцидентам: VU#854306, VU#107186, CA-2002-03.
Более подробная информация:

Группа безопасного программирования из университета Оулу провела исследования реализаций SNMP и обнаружила многочисленные проблемы, которые могут вызывать различные уязвимости, от отказа в обслуживании до удалённых уязвимостей.

Были подготовлены новые пакеты UCD-SNMP для исправления эти проблем, а также нескольких других. Полный список исправленных проблем:

  • При запуске внешних программ snmpd использует временные файлы небезопасным образом
  • snmpd неправильно сбрасывает дополнительные группы после изменения идентификаторов пользователя и группы
  • Для предотвращения переполнения буфера был изменён большой участок кода с тем, чтобы использовать буфера вместо строк фиксированной длины
  • Код для грамматического разбора ASN.1 не выполняет проверку на длину с отрицательным значением
  • Обработка ответа IFINDEX в snmpnetstat не выполняет проверку входных данных

(благодарим Caldera за большую часть работы над этими заплатами)

Новая версия — 4.1.1-2.1, рекомендуем как можно скорее обновить пакеты snmp.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:
http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1-2.2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1-2.2.dsc
http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/libsnmp4.1-dev_4.1.1-2.2_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/libsnmp4.1_4.1.1-2.2_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/snmp_4.1.1-2.2_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/snmpd_4.1.1-2.2_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/libsnmp4.1-dev_4.1.1-2.2_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/libsnmp4.1_4.1.1-2.2_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/snmp_4.1.1-2.2_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/snmpd_4.1.1-2.2_arm.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/libsnmp4.1-dev_4.1.1-2.2_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/libsnmp4.1_4.1.1-2.2_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/snmp_4.1.1-2.2_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/snmpd_4.1.1-2.2_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/libsnmp4.1-dev_4.1.1-2.2_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/libsnmp4.1_4.1.1-2.2_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/snmp_4.1.1-2.2_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/snmpd_4.1.1-2.2_m68k.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/libsnmp4.1-dev_4.1.1-2.2_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/libsnmp4.1_4.1.1-2.2_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/snmp_4.1.1-2.2_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/snmpd_4.1.1-2.2_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.