Debian-Sicherheitsankündigung

DSA-198-1 nullmailer -- Denial of Service

Datum des Berichts:
18. Nov 2002
Betroffene Pakete:
nullmailer
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 6193.
In Mitres CVE-Verzeichnis: CVE-2002-1313.
Weitere Informationen:

Ein Problem in nullmailer wurde entdeckt, einem einfachen reinen weiterleitenden Mail-Transport-Agenten für Rechner, die Mails an eine fixe Anzahl von Smartrelays weiterleiten. Wenn eine Mail lokal an einen Benutzer zugestellt wird, der nicht existiert, versucht nullmailer sie zuzustellen, entdeckt einen »Unbekannter Benutzer«-Fehler und beendet die Zustellung. Unglücklicherweise beendet er die Zustellung komplett, nicht nur für diese Mail. Daher ist es sehr einfach, einen Denial of Service zu erstellen.

Dieses Problem wurde in Version 1.00RC5-16.1woody2 für die aktuelle stable Distribution (Woody) und in Version 1.00RC5-17 für die unstable Distribution (Sid) behoben. Die alte stable Distribution (Potato) enthält kein nullmailer-Paket.

Wir empfehlen Ihnen, Ihr nullmailer-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/n/nullmailer/nullmailer_1.00RC5-16.1woody2.dsc
http://security.debian.org/pool/updates/main/n/nullmailer/nullmailer_1.00RC5-16.1woody2.diff.gz
http://security.debian.org/pool/updates/main/n/nullmailer/nullmailer_1.00RC5.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/n/nullmailer/nullmailer_1.00RC5-16.1woody2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/n/nullmailer/nullmailer_1.00RC5-16.1woody2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/n/nullmailer/nullmailer_1.00RC5-16.1woody2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/n/nullmailer/nullmailer_1.00RC5-16.1woody2_ia64.deb
HP Precision:
http://security.debian.org/pool/updates/main/n/nullmailer/nullmailer_1.00RC5-16.1woody2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/n/nullmailer/nullmailer_1.00RC5-16.1woody2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/n/nullmailer/nullmailer_1.00RC5-16.1woody2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/n/nullmailer/nullmailer_1.00RC5-16.1woody2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/n/nullmailer/nullmailer_1.00RC5-16.1woody2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/n/nullmailer/nullmailer_1.00RC5-16.1woody2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/n/nullmailer/nullmailer_1.00RC5-16.1woody2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.