Debian-Sicherheitsankündigung

DSA-449-1 metamail -- Pufferüberlauf- und Format-String-Fehler

Datum des Berichts:
24. Feb 2004
Betroffene Pakete:
metamail
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 9692.
In Mitres CVE-Verzeichnis: CVE-2004-0104, CVE-2004-0105.
CERTs Verwundbarkeiten, Hinweise und Ereignis-Notizen: VU#518518, VU#513062.
Weitere Informationen:

Ulf Härnhammar entdeckte zwei Format-String-Fehler (CAN-2004-0104) und zwei Pufferüberlauf-Fehler (CAN-2004-0105) in metamail, einer Implementierung von MIME. Ein Angreifer kann eine speziell gestaltete E-Mail erstellen, die beliebigen Code mit den Rechten des Opfers ausführt, wenn sie geöffnet und durch metamail geparst wird.

Wir bemühen uns, metamail in der Zukunft nicht mehr in Debian behalten zu müssen. Es ist mittlerweile nicht mehr wartbar und die gefundenen Verwundbarkeiten sind wahrscheinlich nicht die letzten.

Für die stable Distribution (Woody) wurden diese Probleme in Version 2.7-45woody.2 behoben.

Für die unstable Distribution (Sid) werden diese Probleme in Version 2.7-45.2 behoben sein.

Wir empfehlen Ihnen, Ihr metamail-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2.dsc
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2.diff.gz
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.