Debian-Sicherheitsankündigung
DSA-151-1 xinetd -- Pipe-Enthüllung
- Datum des Berichts:
- 13. Aug 2002
- Betroffene Pakete:
- xinetd
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 5458.
In Mitres CVE-Verzeichnis: CVE-2002-0871. - Weitere Informationen:
-
Solar Designer hat eine Verwundbarkeit im xinetd gefunden, einem Ersatz für den von BSD abgeleiteten inetd. Datei-Deskriptoren für die Signal-Pipe, die in Version 2.3.4 eingeführt wurde, konnten von Services verwendet werden, die vom xinetd gestartet wurden. Die Deskriptoren könnten dazu verwendet werden, mit xinetd zu sprechen, was zu seinem kompletten Absturz führt. Dies wird üblicherweise ein Denial-of-Service genannt.
Dieses Problem wurde vom Paketbetreuer in Version 2.3.4-1.2 für die aktuelle stable Distribution (Woody) und in Version 2.3.7-1 für die unstable Distribution (Sid) behoben. Die alte stable Distribution (Potato) ist nicht davon betroffen, da sie die Signal-Pipe nicht enthält.
Wir empfehlen Ihnen, Ihre xinetd-Pakete zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/x/xinetd/xinetd_2.3.4-1.2.dsc
- http://security.debian.org/pool/updates/main/x/xinetd/xinetd_2.3.4-1.2.diff.gz
- http://security.debian.org/pool/updates/main/x/xinetd/xinetd_2.3.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xinetd/xinetd_2.3.4-1.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/x/xinetd/xinetd_2.3.4-1.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xinetd/xinetd_2.3.4-1.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xinetd/xinetd_2.3.4-1.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xinetd/xinetd_2.3.4-1.2_ia64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/x/xinetd/xinetd_2.3.4-1.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/x/xinetd/xinetd_2.3.4-1.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/x/xinetd/xinetd_2.3.4-1.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/x/xinetd/xinetd_2.3.4-1.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xinetd/xinetd_2.3.4-1.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xinetd/xinetd_2.3.4-1.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xinetd/xinetd_2.3.4-1.2_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.