Debianin tietoturvatiedote
DSA-300-1 balsa -- puskurin ylivuoto
- Ilmoitettu:
- 6. 5.2003
- Vaikutuksen alaiset paketit:
- balsa
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 7229.
Mitren CVE-sanakirjassa: CVE-2003-0167. - Lisätietoa:
-
Byrial Jensen havaitsi Muttin, IMAP:ia, MIME-koodausta, GPG:tä, PGP:tä ja säikeistystä tukevan tekstipohjaisen sähköpostiohjelman, IMAP-koodissa pari off-by-one-puskuriylivuotoa. Kyseistä koodia käytetään myös Balsa-paketissa. Tätä ongelmaa hyväksikäyttämällä pahantahtoinen etäkäytettävä IMAP-palvelin voi aiheuttaa palveluneston (ohjelma kaatuu), sekä mahdollisesti suorittaa mielivaltaista koodin tietyllä tavalla muotoillun postihakemiston avulla.
Ongelma on korjattu vakaan jakelun (woody) versiossa 1.2.4-2.2 .
Aiempi vakaa jakelu (potato) ei näytä olevan altis tälle ongelmalle.
Korjaus epävakaalle jakelulle (sid) ilmestyy piakkoin.
Suosittelemme päivittämään balsa-paketin.
- Korjattu:
-
Debian GNU/Linux 3.0 (woody)
- Lähde:
- http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2.dsc
- http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2.diff.gz
- http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/b/balsa/balsa_1.2.4-2.2_sparc.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.