Säkerhetsbulletin från Debian

DSA-259-1 qpopper -- utökning av privilegier för e-postanvändare

Rapporterat den:

2003-03-12

Berörda paket:

qpopper

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2003-0143.

Ytterligare information:

Florian Heinz heinz@cronon-ag.de skrev till sändlistan Bugtraq om ett sätt att utnyttja qpopper baserat på ett fel i den implementation av vsnprintf som medföljer. Exemplet kräver ett giltigt användarkonto och lösenord och spiller en sträng i pop_msg()-funktionen, vilket ger användaren gruppbehörighet i enlighet med gruppen ”mail” och ett skal på systemet. Eftersom Qvsnprintf används på andra ställen i qpopper kan det vara möjligt att även utnyttja andra delar av koden.

Qpopper-paketet i Debian 2.2 (Potato) innehåller inte den sårbara implementationen av snprintf. För Debian 3.0 (Woody) är ett uppdaterat paket tillgängligt i version 4.0.4-2.woody.3. De som kör en ännu inte släppt version av Debian bör uppgradera till 4.0.4-9 eller nyare. Vi rekommenderar att ni uppgraderar era qpopper-paket omedelbart.

Rättat i:

Debian GNU/Linux 3.0 (stable)

Källkod:: http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3.diff.gz; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4.orig.tar.gz; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3.dsc
alpha (DEC Alpha):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_alpha.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_alpha.deb
arm (ARM):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_arm.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_arm.deb
hppa (HP PA RISC):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_hppa.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_hppa.deb
i386 (Intel ia32):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_i386.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_i386.deb
ia64 (Intel ia64):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_ia64.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_ia64.deb
m68k (Motorola Mc680x0):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_m68k.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_m68k.deb
mips (MIPS (Big Endian)):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_mips.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_mips.deb
mipsel (MIPS (Little Endian)):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_mipsel.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_mipsel.deb
powerpc (PowerPC):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_powerpc.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_powerpc.deb
s390 (IBM S/390):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_s390.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_s390.deb
sparc (Sun SPARC/UltraSPARC):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_sparc.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.