Alerta de Segurança Debian

DSA-141-1 mpack -- buffer overflow

Data do Alerta:
01 Ago 2002
Pacotes Afetados:
mpack
Vulnerável:
Sim
Referência à base de dados de segurança:
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 5385.
No dicionário CVE do Mitre: CVE-2002-1425.
Informações adicionais:

O Eckehard Berns descobriu um buffer overflow no programa munpack, que é usado para decodificar (relativamente) arquivos binários em mensagem eletrônicas no formato MIME. Se o munpack é executado em um e-mail apropriadamente mal formado (ou um artigo de notícias), então este irá quebrar, e talvez possa ser feito com que execute código arbitrário.

O Herbert Xu reportou uma segunda vulnerabilidade que afeta nomes de arquivos mal formados que refere-se a arquivos no diretório superior, como "../a". O O impacto na segurança é limitado, de qualquer forma, pois somente um único "../" foi aceito e somente novos arquivos podem ser criados (arquivos não serão sobreescritos).

Ambos os problemas foram corrigidos na versão 1.5-5potato2 para a antiga distribuição estável (potato), na versão 1.5-7woody2 para a atual distribuição estável (woody) e na versão 1.5-9 para a distribuição instável (sid).

Nós recomendamos que você atualize seu pacote mpack imediatamente.

Corrigido em:

Debian GNU/Linux 2.2 (potato)

Fonte:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2.dsc
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2.diff.gz
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_sparc.deb

Debian GNU/Linux 3.0 (woody)

Fonte:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2.dsc
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2.diff.gz
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_ia64.deb
HP Precision:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.