Säkerhetsbulletin från Debian

DSA-111-1 ucd-snmp -- fjärrattack

Rapporterat den:

2002-02-14

Berörda paket:

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2002-0012, CVE-2002-0013.
CERTs information om sårbarheter, bulletiner och incidenter: VU#854306, VU#107186, CA-2002-03.

Ytterligare information:

Secure Programming Group vid Uleåborg universitet undersökte SNMP-implementationer och upptäckte flera misstag som kan orsaka problem från överbelastningar till fjärrattacker.

Nya UCD-SNMP-paket har förberetts för att rätta dessa problem, såväl som några ytterligare. Hela listan med rättade problem är:

När externa program körs använde snmpd temporära filer på ett osäkert sätt
snmp återställde inte tilläggsgrupper korrekt efter att ha bytt sitt användar- och grupp-id
Ändrade merparten av koden till att använda buffertar istället för strängar av fast längd för att förhindra buffertspill
ASN.1-tolken testade inte för negativa längder
IFINDEX-svarshanteringen i snmpnetstat gjorde testade inte för att se om indata var vettiga

(tack till Caldera för huvuddelen av arbetet på dessa rättelser)

Den nya versionen är 4.1.1-2.1 och vi rekommenderar att ni uppgraderar era snmp-paket omedelbart.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:: http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1-2.2.diff.gz; http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1-2.2.dsc; http://security.debian.org/dists/stable/updates/main/source/ucd-snmp_4.1.1.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/libsnmp4.1-dev_4.1.1-2.2_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/libsnmp4.1_4.1.1-2.2_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/snmp_4.1.1-2.2_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/snmpd_4.1.1-2.2_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/libsnmp4.1-dev_4.1.1-2.2_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/libsnmp4.1_4.1.1-2.2_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/snmp_4.1.1-2.2_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/snmpd_4.1.1-2.2_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/libsnmp4.1-dev_4.1.1-2.2_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/libsnmp4.1_4.1.1-2.2_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/snmp_4.1.1-2.2_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/snmpd_4.1.1-2.2_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/libsnmp4.1-dev_4.1.1-2.2_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/libsnmp4.1_4.1.1-2.2_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/snmp_4.1.1-2.2_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/snmpd_4.1.1-2.2_m68k.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/libsnmp4.1-dev_4.1.1-2.2_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/libsnmp4.1_4.1.1-2.2_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/snmp_4.1.1-2.2_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/snmpd_4.1.1-2.2_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.