Säkerhetsbulletin från Debian
DSA-373-1 autorespond -- buffertspill
- Rapporterat den:
- 2003-08-16
- Berörda paket:
- autorespond
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 8436.
I Mitres CVE-förteckning: CVE-2003-0654. - Ytterligare information:
-
Christian Jaeger upptäckte ett buffertspill i autorespond, ett program som svarar på e-post automatiskt och som används med qmail. Denna sårbarhet kunde potentiellt utnyttjas av en angripare utifrån till att uppnå privilegierna för den användare som ställt in qmail att vidaresända brev till autorespond. Denna sårbarhet tros inte kunna utnyttjas för närvarande på grund av tillfälliga begränsningar i längden på det indata som har problemen, men det kan finnas situationer där dessa begränsningar inte gäller.
För den stabila utgåvan (Woody) har detta problem rättats i version 2.0.2-2woody1.
För den instabila utgåvan (Sid) kommer detta problem rättas inom kort.
Vi rekommenderar att ni uppgraderar ert autorespond-paket.
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1.dsc
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1.diff.gz
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2.orig.tar.gz
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/contrib/a/autorespond/autorespond_2.0.2-2woody1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.