Debians sikkerhedsbulletin
DSA-373-1 autorespond -- bufferoverløb
- Rapporteret den:
- 16. aug 2003
- Berørte pakker:
- autorespond
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 8436.
I Mitres CVE-ordbog: CVE-2003-0654. - Yderligere oplysninger:
-
Christian Jaeger har opdaget et bufferoverløb i autorespond, et program til automatisk besvarelse af e-mail, der anvendes sammen med qmail. Denne sårbarhed kunne potentielt udnyttes af en fjernangriber til at opnå rettighederne tilhørende den bruger, der har opsat qmail til at videresende meddelelser, der skal svares automatisk på. Pt. kan denne sårbarhed formentlig ikke udnyttes, på grund af visse begrænsninger på længden af de problematiske inddata, men der kan være situationer, hvor begræsningerne ikke træder i kraft.
I den stabile distribution (woody) er dette problem rettet i version 2.0.2-2woody1.
I den ustabile distribution (sid) vil dette problem snart blive rettet.
Vi anbefaler at du opdaterer din autorespond-pakke.
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1.dsc
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1.diff.gz
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2.orig.tar.gz
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.