Alerta de Segurança Debian
DSA-967-1 elog -- várias vulnerabilidades
- Data do Alerta:
- 10 Fev 2006
- Pacotes Afetados:
- elog
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- No sistema de acompanhamento de bugs do Debian: Bug 349528.
No dicionário CVE do Mitre: CVE-2005-4439, CVE-2006-0347, CVE-2006-0348, CVE-2006-0597, CVE-2006-0598, CVE-2006-0599, CVE-2006-0600. - Informações adicionais:
-
Vários problemas de segurança foram encontrados no elog, um diário eletrônico para gerenciar anotações. O projeto [1]Common Vulnerabilities and Exposures identificou os seguintes problemas:
- CVE-2005-4439
"GroundZero Security" descobriu que o elog não verifica suficientemente o tamanho do buffer usado para processar parâmetros de URL, o que pode levar à execução de código arbitrário.
- CVE-2006-0347
Foi descoberto que o elog contém uma vulnerabilidade "directory traversal" no processamento de sequências de "../" em URLs, que pode levar à divulgação de informações.
- CVE-2006-0348
O código de escrita do log contém uma vulnerabilidade de formato de string que pode levar à execução de código arbitrário.
- CVE-2006-0597
Sobrescrever atributos de revisão longos pode disparar uma falha ("crash") devido a um estouro de buffer.
- CVE-2006-0598
O código de escrita do arquivo de log não reforça a verificação de limites apropriadamente, o que pode levar à execução de código arbitrário.
- CVE-2006-0599
elog emitiu mensagens de erro diferentes para senha inválida e usuários inválidos, o que permite a um atacante buscar por nomes de usuários válidos.
- CVE-2006-0600
Um atacante pode andar por infinitos redirecionamentos com uma requisição "fail" forjada, que tem potencial negação de serviço.
A antiga distribuição estável ("woody") não contém o pacote elog.
Para a distribuição estável ("sarge") estes problemas foram corrigidos na versão 2.5.7+r1558-4+sarge2.
Para a distribuição instável ("sid") estes problemas foram corrigidos na versão 2.6.1+r1642-1.
Recomendamos que você atualize seu pacote elog.
1.Common Vulnerabilities and Exposures é um projeto que visa padronizar os nomes para os avisos de vulnerabilidades e exposições de segurança. - CVE-2005-4439
- Corrigido em:
-
Debian GNU/Linux 3.1 (sarge)
- Fonte:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2.dsc
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2.diff.gz
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558.orig.tar.gz
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_sparc.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.
