Debian-Sicherheitsankündigung
DSA-449-1 metamail -- Pufferüberlauf- und Format-String-Fehler
- Datum des Berichts:
- 24. Feb 2004
- Betroffene Pakete:
- metamail
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 9692.
In Mitres CVE-Verzeichnis: CVE-2004-0104, CVE-2004-0105.
CERTs Verwundbarkeiten, Hinweise und Ereignis-Notizen: VU#518518, VU#513062. - Weitere Informationen:
-
Ulf Härnhammar entdeckte zwei Format-String-Fehler (CAN-2004-0104) und zwei Pufferüberlauf-Fehler (CAN-2004-0105) in metamail, einer Implementierung von MIME. Ein Angreifer kann eine speziell gestaltete E-Mail erstellen, die beliebigen Code mit den Rechten des Opfers ausführt, wenn sie geöffnet und durch metamail geparst wird.
Wir bemühen uns, metamail in der Zukunft nicht mehr in Debian behalten zu müssen. Es ist mittlerweile nicht mehr wartbar und die gefundenen Verwundbarkeiten sind wahrscheinlich nicht die letzten.
Für die stable Distribution (Woody) wurden diese Probleme in Version 2.7-45woody.2 behoben.
Für die unstable Distribution (Sid) werden diese Probleme in Version 2.7-45.2 behoben sein.
Wir empfehlen Ihnen, Ihr metamail-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2.dsc
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2.diff.gz
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.