Debian-Sicherheitsankündigung
DSA-713-1 junkbuster -- Mehrere Verwundbarkeiten
- Datum des Berichts:
- 21. Apr 2005
- Betroffene Pakete:
- junkbuster
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2005-1108, CVE-2005-1109.
- Weitere Informationen:
-
In junkbuster, einem HTTP-Proxy und -Filter, wurden mehrere Fehler gefunden. Das
Common Vulnerabilities and Exposures project
legt die folgenden Verwundbarkeiten fest:- CAN-2005-1108
James Ranson entdeckte, dass ein Angreifer durch eine speziell präparierte URL den Referrer ändern kann, weil eine globale Variable versehentlich überschrieben wird.
- CAN-2005-1109
Tavis Ormandy vom Gentoo-Sicherheitsteam entdeckte mehrere Probleme, die zu einem zerstörten Heap führen können. Dabei wird eine interne Funktion inkonsistent verwendet, was den Absturz des Daemons und möglicherweise die Ausführung von beliebigem Code zur Folge hat.
Für die Stable-Distribution (Woody) wurden diese Probleme in Version 2.0.2-0.2woody1 behoben.
Die Unstable-Distribution (Sid) enthält das junkbuster-Paket nicht mehr.
Wir empfehlen Ihnen, Ihr junkbuster-Paket zu aktualisieren.
- CAN-2005-1108
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1.dsc
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1.diff.gz
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.