Porada dotycząca bezpieczeństwa Debiana

DSA-449-1 metamail -- przepełnienie bufora, błędy typu format string

Data Zgłoszenia:
24.02.2004
Narażone Pakiety:
metamail
Podatny:
Tak
Odnośniki do baz danych na temat bezpieczeństwa:
Baza danych Bugtraq (SecurityFocus): Nr BugTraq 9692.
W słowniku CVE Mitre-a CVE-2004-0104, CVE-2004-0105.
Baza danych błędów, porad i incydentów CERT: VU#518518, VU#513062.
Więcej informacji:

Ulf Härnhammar odkrył dwa błędy typu format string (CAN-2004-0104) oraz dwa błędy typu przepełnienie bufora (CAN-2004-0105) w metamail, implementacji MIME. Atakujący może stworzyć specjalnie spreparowaną wiadomość pocztową z pomocą której może uruchomić własny kod jako ofiara gdy zostanie otwarta i przetworzona w metamail.

Podejmujemy próby uniknięcia dostarczania metamail w przyszłości. Program zaczyna pozostawać bez opieki i nie są to prawdopodobnie ostatnie naruszenia bezpieczeństwa.

W stabilnej dystrybucji (woody) powyższe problemy zostały wyeliminowane w wersji 2.7-45woody.2.

W dystrybucji nietsabilnej (sid) powyższe błędy będą usunięte w wersji 2.7-45.2.

Zalecamy aktualizację pakietu metamail.

Naprawiony w:

Debian GNU/Linux 3.0 (woody)

Źródło:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2.dsc
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2.diff.gz
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_sparc.deb

Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.