Debian-Sicherheitsankündigung

DSA-259-1 qpopper -- Privilegien-Erweiterung für E-Mail-Benutzer

Datum des Berichts:

12. Mär 2003

Betroffene Pakete:

qpopper

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2003-0143.

Weitere Informationen:

Florian Heinz heinz@cronon-ag.de sandte an die Bugtraq-Mailingliste eine Ausbeutung für qpopper basierend auf einem Fehler in der enthaltenen vsnprintf Implementierung. Die Beispielsausbeutung benötigt ein gültiges Benutzerkonto samt Passwort, und lässt eine Zeichenkette in der pop_msg()-Funktion überlaufen, um dem Benutzer "mail"-Gruppen-Privilegien zu geben und eine Shell auf dem System. Da die Qvsnprintf auch an anderen Orten in qpopper verwendet wird, könnten zusätzliche Ausbeutungen möglich sein.

Das qpopper Paket in Debian 2.2 (Potato) enthält nicht die verwundbare snprintf-Implementierung. Für Debian 3.0 (Woody) ist ein repariertes Paket in Version 4.0.4-2.woody.3 verfügbar. Benutzer einer nicht freigegebenen Version von Debian sollten auf 4.0.4-9 oder neuer aktualisieren. Wir empfehlen Ihnen, Ihr qpopper-Paket unverzüglich zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (stable)

Quellcode:: http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3.diff.gz; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4.orig.tar.gz; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3.dsc
alpha (DEC Alpha):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_alpha.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_alpha.deb
arm (ARM):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_arm.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_arm.deb
hppa (HP PA RISC):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_hppa.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_hppa.deb
i386 (Intel ia32):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_i386.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_i386.deb
ia64 (Intel ia64):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_ia64.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_ia64.deb
m68k (Motorola Mc680x0):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_m68k.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_m68k.deb
mips (MIPS (Big Endian)):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_mips.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_mips.deb
mipsel (MIPS (Little Endian)):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_mipsel.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_mipsel.deb
powerpc (PowerPC):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_powerpc.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_powerpc.deb
s390 (IBM S/390):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_s390.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_s390.deb
sparc (Sun SPARC/UltraSPARC):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_sparc.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.