Porada dotycząca bezpieczeństwa Debiana
DSA-449-1 metamail -- przepełnienie bufora, błędy typu format string
- Data Zgłoszenia:
- 24.02.2004
- Narażone Pakiety:
- metamail
- Podatny:
- Tak
- Odnośniki do baz danych na temat bezpieczeństwa:
- Baza danych Bugtraq (SecurityFocus): Nr BugTraq 9692.
W słowniku CVE Mitre-a CVE-2004-0104, CVE-2004-0105.
Baza danych błędów, porad i incydentów CERT: VU#518518, VU#513062. - Więcej informacji:
-
Ulf Härnhammar odkrył dwa błędy typu format string (CAN-2004-0104) oraz dwa błędy typu przepełnienie bufora (CAN-2004-0105) w metamail, implementacji MIME. Atakujący może stworzyć specjalnie spreparowaną wiadomość pocztową z pomocą której może uruchomić własny kod jako ofiara gdy zostanie otwarta i przetworzona w metamail.
Podejmujemy próby uniknięcia dostarczania metamail w przyszłości. Program zaczyna pozostawać bez opieki i nie są to prawdopodobnie ostatnie naruszenia bezpieczeństwa.
W stabilnej dystrybucji (woody) powyższe problemy zostały wyeliminowane w wersji 2.7-45woody.2.
W dystrybucji nietsabilnej (sid) powyższe błędy będą usunięte w wersji 2.7-45.2.
Zalecamy aktualizację pakietu metamail.
- Naprawiony w:
-
Debian GNU/Linux 3.0 (woody)
- Źródło:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2.dsc
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2.diff.gz
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_sparc.deb
Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.