Рекомендация Debian по безопасности
DSA-1597-2 mt-daapd -- многочисленные уязвимости
- Дата сообщения:
- 12.06.2008
- Затронутые пакеты:
- mt-daapd
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 459961, Ошибка 476241.
В каталоге Mitre CVE: CVE-2007-5824, CVE-2007-5825, CVE-2008-1771. - Более подробная информация:
-
В mt-daapd, аудиосервере DAAP (также известном как Firefly Media Server), были обнаружены три уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие три проблемы:
- CVE-2007-5824
Недостаточная проверка правильности и проверка границ в заголовке Authorization: HTTP позволяет вызывать переполнение динамической памяти, потенциально позволяя выполнять произвольный код.
- CVE-2007-5825
Уязвимости форматной строки в журналировании отладки в коде аутентификации запросов XML-RPC может позволить выполнить произвольный код.
- CVE-2008-1771
Переполнение целых чисел в коде обработки переменных HTTP POST может позволить вызвать переполнение динамической памяти и потенциальное выполнение произвольного кода.
В стабильном выпуске (etch) эти проблемы были исправлены в версии 0.2.4+r1376-1.1+etch2.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 0.9~r1696-1.4.
Рекомендуется обновить пакет mt-daapd.
- CVE-2007-5824
- Исправлено в:
-
Debian GNU/Linux 4.0 (etch)
- Исходный код:
- http://security.debian.org/pool/updates/main/m/mt-daapd/mt-daapd_0.2.4+r1376-1.1+etch2.dsc
- http://security.debian.org/pool/updates/main/m/mt-daapd/mt-daapd_0.2.4+r1376-1.1+etch2.diff.gz
- http://security.debian.org/pool/updates/main/m/mt-daapd/mt-daapd_0.2.4+r1376.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mt-daapd/mt-daapd_0.2.4+r1376-1.1+etch2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/m/mt-daapd/mt-daapd_0.2.4+r1376-1.1+etch2_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/m/mt-daapd/mt-daapd_0.2.4+r1376-1.1+etch2_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/mt-daapd/mt-daapd_0.2.4+r1376-1.1+etch2_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/m/mt-daapd/mt-daapd_0.2.4+r1376-1.1+etch2_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/mt-daapd/mt-daapd_0.2.4+r1376-1.1+etch2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/mt-daapd/mt-daapd_0.2.4+r1376-1.1+etch2_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mt-daapd/mt-daapd_0.2.4+r1376-1.1+etch2_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mt-daapd/mt-daapd_0.2.4+r1376-1.1+etch2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mt-daapd/mt-daapd_0.2.4+r1376-1.1+etch2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/m/mt-daapd/mt-daapd_0.2.4+r1376-1.1+etch2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mt-daapd/mt-daapd_0.2.4+r1376-1.1+etch2_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.