Рекомендация Debian по безопасности

DSA-121-1 xtell -- переполнение буфера, проблема символьных ссылок, обход каталога ".."

Дата сообщения:
11.03.2002
Затронутые пакеты:
xtell
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2002-0332, CVE-2002-0333, CVE-2002-0334.
Более подробная информация:

Несколько проблем безопасности было обнаружено в пакете xtell, простом клиенте и сервере для обмена сообщениями. Говоря подробнее, эти проблемы включают в себя несколько переполнений буфера, проблема, связанную с символьными ссылками, неавторизованным обходом каталога в случае, если путь содержит "..". Эти проблемы могут позволить злоумышленнику выполнять произвольный код на серверной машине. Сервер по умолчанию работает с правами nobody, поэтому именно эта учётная запись и будет использоваться в случае атаки.

Ошибки были исправлены путём обратного переноса изменений из более новой версии из основной ветки разработки сопровождающим xtell в Debian. Эти проблемы были исправлены в версии 1.91.1 в стабильном выпуске Debian и в версии 2.7 для тестируемого и нестабильного выпусков Debian.

Рекомендуется как можно скорее обновить пакеты xtell.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:
http://security.debian.org/dists/stable/updates/main/source/xtell_1.91.1.dsc
http://security.debian.org/dists/stable/updates/main/source/xtell_1.91.1.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/xtell_1.91.1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/xtell_1.91.1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/xtell_1.91.1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/xtell_1.91.1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/xtell_1.91.1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/xtell_1.91.1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.