Debian-Sicherheitsankündigung

DSA-141-1 mpack -- Pufferüberlauf

Datum des Berichts:
01. Aug 2002
Betroffene Pakete:
mpack
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 5385.
In Mitres CVE-Verzeichnis: CVE-2002-1425.
Weitere Informationen:

Eckehard Berns hat einen Pufferüberlauf im munpack Programm entdeckt, das dazu verwendet wird, um Binär-Dateien in MIME (Multipurpose Internet Mail Extensions) formatierten Mailnachrichten zu dekodieren. Falls munpack auf eine entsprechend missgebildete E-Mail (oder News-Artikel) angewandt wird, stürzt es ab, und kann möglicherweise dazu gebracht werden, willkürlichen Code auszuführen.

Herbert Xu berichtete von einer zweiten Verwundbarkeit, die missgebildete Dateinamen beeinträchtigt, die auf Dateien in übergeordneten Verzeichnissen wie "../a" verweisen. Der Sicherheitseinfluss ist jedoch beschränkt, da nur ein einziges anfängliches "../" akzeptiert wurde und nur neue Dateien erstellt werden konnten (d.h. keine Datei konnte überschrieben werden).

Beide Probleme wurden in Version 1.5-5potato2 für die alte stable Distribution (Potato), in Version 1.5-7woody2 für die aktuelle stable Distribution (Woody) und in Version 1.5-9 für die unstable Distribution (Sid) behoben.

Wir empfehlen Ihnen, Ihr mpack Paket unverzüglich zu aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2.dsc
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2.diff.gz
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_sparc.deb

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2.dsc
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2.diff.gz
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_ia64.deb
HP Precision:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.