Säkerhetsbulletin från Debian

DSA-1853-1 memcached -- heapbaserat buffertspill

Rapporterat den:

2009-08-07

Berörda paket:

memcached

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2009-2415.

Ytterligare information:

Ronald Volgers upptäckte att memcached, ett högpresterande system för cachning av objekt, är sårbart för flera heapbaserade buffertspill på grund av heltalskonvertering vid tolkning av flera längdattribut. En angripare kan använda detta för att exekvera godtycklig kod på system som kör memcached (i Etch med rotanvändarprivilegier).

För den gamla stabila utgåvan (Etch) har detta problem rättats i version 1.1.12-1+etch1.

För den stabila utgåvan (Lenny) har detta problem rättats i version 1.2.2-1+lenny1.

För uttestningsutgåvan (Squeeze) och den instabila ugåvan (Sid) kommer detta problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era memcached-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.1.12-1+etch1.dsc; http://security.debian.org/pool/updates/main/m/memcached/memcached_1.1.12.orig.tar.gz; http://security.debian.org/pool/updates/main/m/memcached/memcached_1.1.12-1+etch1.diff.gz
Alpha:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.1.12-1+etch1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.1.12-1+etch1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.1.12-1+etch1_arm.deb
HP Precision:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.1.12-1+etch1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.1.12-1+etch1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.1.12-1+etch1_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.1.12-1+etch1_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.1.12-1+etch1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.1.12-1+etch1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.1.12-1+etch1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.1.12-1+etch1_sparc.deb

Debian GNU/Linux 5.0 (lenny)

Källkod:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.2.2-1+lenny1.dsc; http://security.debian.org/pool/updates/main/m/memcached/memcached_1.2.2.orig.tar.gz; http://security.debian.org/pool/updates/main/m/memcached/memcached_1.2.2-1+lenny1.diff.gz
Alpha:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.2.2-1+lenny1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.2.2-1+lenny1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.2.2-1+lenny1_arm.deb
ARM EABI:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.2.2-1+lenny1_armel.deb
HP Precision:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.2.2-1+lenny1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.2.2-1+lenny1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.2.2-1+lenny1_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.2.2-1+lenny1_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.2.2-1+lenny1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.2.2-1+lenny1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.2.2-1+lenny1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/m/memcached/memcached_1.2.2-1+lenny1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.