Säkerhetsbulletin från Debian
DSA-111-1 ucd-snmp -- fjärrattack
- Rapporterat den:
- 2002-02-14
- Berörda paket:
- ucd-snmp
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2002-0012, CVE-2002-0013.
CERTs information om sårbarheter, bulletiner och incidenter: VU#854306, VU#107186, CA-2002-03. - Ytterligare information:
-
Secure Programming Group vid Uleåborg universitet undersökte SNMP-implementationer och upptäckte flera misstag som kan orsaka problem från överbelastningar till fjärrattacker.
Nya UCD-SNMP-paket har förberetts för att rätta dessa problem, såväl som några ytterligare. Hela listan med rättade problem är:
- När externa program körs använde snmpd temporära filer på ett osäkert sätt
- snmp återställde inte tilläggsgrupper korrekt efter att ha bytt sitt användar- och grupp-id
- Ändrade merparten av koden till att använda buffertar istället för strängar av fast längd för att förhindra buffertspill
- ASN.1-tolken testade inte för negativa längder
- IFINDEX-svarshanteringen i snmpnetstat gjorde testade inte för att se om indata var vettiga
(tack till Caldera för huvuddelen av arbetet på dessa rättelser)
Den nya versionen är 4.1.1-2.1 och vi rekommenderar att ni uppgraderar era snmp-paket omedelbart.
- Rättat i:
-
Debian GNU/Linux 2.2 (potato)
- Källkod:
- http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1-2.2.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1-2.2.dsc
- http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1-2.2.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/libsnmp4.1-dev_4.1.1-2.2_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/libsnmp4.1_4.1.1-2.2_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/snmp_4.1.1-2.2_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/snmpd_4.1.1-2.2_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/libsnmp4.1_4.1.1-2.2_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/libsnmp4.1-dev_4.1.1-2.2_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/libsnmp4.1_4.1.1-2.2_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/snmp_4.1.1-2.2_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/snmpd_4.1.1-2.2_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/libsnmp4.1_4.1.1-2.2_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/libsnmp4.1-dev_4.1.1-2.2_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/libsnmp4.1_4.1.1-2.2_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/snmp_4.1.1-2.2_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/snmpd_4.1.1-2.2_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/libsnmp4.1_4.1.1-2.2_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/libsnmp4.1-dev_4.1.1-2.2_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/libsnmp4.1_4.1.1-2.2_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/snmp_4.1.1-2.2_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/snmpd_4.1.1-2.2_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/libsnmp4.1_4.1.1-2.2_m68k.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/libsnmp4.1-dev_4.1.1-2.2_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/libsnmp4.1_4.1.1-2.2_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/snmp_4.1.1-2.2_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/snmpd_4.1.1-2.2_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/libsnmp4.1_4.1.1-2.2_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.