Debianin tietoturvatiedote
DSA-259-1 qpopper -- mail-käyttäjäoikeuksien laajentuminen
- Ilmoitettu:
- 12. 3.2003
- Vaikutuksen alaiset paketit:
- qpopper
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Mitren CVE-sanakirjassa: CVE-2003-0143.
- Lisätietoa:
-
Florian Heinz heinz@cronon-ag.de lähetti Bugtraq-listalle mallin qpopperin hyväksikäytöstä, joka pohjautuu vsnprintf-toteutuksessa ilmenevään vikaan. Mallina ollut hyväksikäyttö vaatii voimassaolevan käyttäjätilin ja salasanan, ja se aiheuttaa pop_msg-toiminnossa jonon ylivuodon, antaen käyttäjälle "mail"-ryhmän oikeudet ja komentotulkin järjestelmässä. Koska Qvsnprintf-toimintoa käytetään qpopperissa muuallakin, muidenkin hyväksikäyttöjen mahdollisuus on olemassa.
Debian 2.2:n (potato) qpopper-paketti ei sisällä haavoittuvuudelle altista snprintf-toteutusta. Päivitetty paketti Debian 3.0:lle (woody) löytyy versiosta 4.0.4-2.woody.3 . Julkaisemattomien Debian-jakeluiden käyttäjien tulisi päivittää versioon 4.0.4-9 tai uudempi. Suosittelemme päivittämään qpopper-paketin välittömästi.
- Korjattu:
-
Debian GNU/Linux 3.0 (stable)
- Lähde:
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3.diff.gz
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3.dsc
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4.orig.tar.gz
- alpha (DEC Alpha):
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_alpha.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_alpha.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_alpha.deb
- arm (ARM):
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_arm.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_arm.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_arm.deb
- hppa (HP PA RISC):
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_hppa.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_hppa.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_hppa.deb
- i386 (Intel ia32):
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_i386.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_i386.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_i386.deb
- ia64 (Intel ia64):
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_ia64.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_ia64.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_ia64.deb
- m68k (Motorola Mc680x0):
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_m68k.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_m68k.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_m68k.deb
- mips (MIPS (Big Endian)):
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_mips.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_mips.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_mips.deb
- mipsel (MIPS (Little Endian)):
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_mipsel.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_mipsel.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_mipsel.deb
- powerpc (PowerPC):
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_powerpc.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_powerpc.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_powerpc.deb
- s390 (IBM S/390):
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_s390.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_s390.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_s390.deb
- sparc (Sun SPARC/UltraSPARC):
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_sparc.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_sparc.deb
- http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_sparc.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.