Debian-Sicherheitsankündigung

DSA-468-1 emil -- Mehrere Verwundbarkeiten

Datum des Berichts:
24. Mär 2004
Betroffene Pakete:
emil
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 9974.
In Mitres CVE-Verzeichnis: CVE-2004-0152, CVE-2004-0153.
Weitere Informationen:

Ulf Härnhammar entdeckte eine Reihe von Verwundbarkeiten in emil, einem Filter zum Konvertieren von Internet-Nachrichten. Die Verwundbarkeiten fallen in zwei Kategorien:

  • CAN-2004-0152

    Pufferüberläufe in (1) der encode_mime Funktion, (2) der encode_uuencode Funktion, (3) der decode_uuencode Funktion. Diese Fehler können es einer speziell präparierten E-Mail-Nachricht erlauben, die Ausführung beliebigen Codes, der in der E-Mail enthalten ist, auszulösen, wenn sie durch emil gefiltert wird.

  • CAN-2004-0153

    Format-Zeichenketten-Fehler in Anweisungen, die verschiedene Fehlermeldungen ausgeben. Es bisher nicht bekannt, ob diese Fehler ausgenutzt werden können, dies ist wahrscheinlich konfigurationsabhängig.

Für die stable Distribution (Woody) wurden diese Probleme in Version 2.1.0-beta9-11woody1 behoben.

Für die unstable Distribution (Sid) werden diese Probleme bald behoben werden.

Wir empfehlen Ihnen, Ihr emil-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1.dsc
http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1.diff.gz
http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.