Debian-Sicherheitsankündigung
DSA-295-1 pptpd -- Pufferüberlauf
- Datum des Berichts:
- 30. Apr 2003
- Betroffene Pakete:
- pptpd
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 7316.
In Mitres CVE-Verzeichnis: CVE-2003-0213. - Weitere Informationen:
-
Timo Sirainen entdeckte eine Verwundbarkeit in pptpd, einem Point-to-Point Tunneling-Server, der PPTP-over-IPSEC implementiert und häufig zum Herstellen von Virtuellen Privaten Netzwerken (VPN) verwendet wird. Durch die Angabe einer kleinen Paket-Länge ist es einem Angreifer möglich, einen Puffer überlaufen zu lassen und Code mit der Benutzerkennung auszuführen, mit der pptpd läuft, voraussichtlich root. Eine Ausnutzung für dieses Problem ist bereits in Umlauf.
Für die stable Distribution (Woody) wurde dieses Problem in Version 1.1.2-1.4 behoben.
Für die alte stable Distribution (Potato) wurde dieses Problem in Version 1.0.0-4.2 behoben.
Für die unstable Distribution (Sid) wurde dieses Problem in Version 1.1.4-0.b3.2 behoben.
Wir empfehlen Ihnen, Ihr pptpd-Paket unverzüglich zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 2.2 (potato)
- Quellcode:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.0.0-4.2.dsc
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.0.0-4.2.diff.gz
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.0.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.0.0-4.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.0.0-4.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.0.0-4.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.0.0-4.2_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.0.0-4.2_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.0.0-4.2_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.0.0-4.2_sparc.deb
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.1.2-1.4.dsc
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.1.2-1.4.diff.gz
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.1.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.1.2-1.4.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.1.2-1.4_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.1.2-1.4_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.1.2-1.4_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.1.2-1.4_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.1.2-1.4_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.1.2-1.4_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.1.2-1.4_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.1.2-1.4_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.1.2-1.4_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.1.2-1.4_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/p/pptpd/pptpd_1.1.2-1.4_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.