Säkerhetsbulletin från Debian
DSA-2002-1 polipo -- överbelastningsattack
- Rapporterat den:
- 2010-02-19
- Berörda paket:
- polipo
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 547047, Fel 560779.
I Mitres CVE-förteckning: CVE-2009-3305, CVE-2009-4413. - Ytterligare information:
-
Flera överbelastningssårbarheter har upptäckts i polipo, en liten, cachande webbproxy. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2009-3305
En illvillig server utifrån kunde få polipo att krascha genom att skicka ett ogiltigt Cache-Control-huvud.
- CVE-2009-4143
En illvillig klient kunde få polipo att krascha genom att skicka ett stort Content-Length-värde.
Denna uppgradering rättar också några andra fel som kunde leda till en serverkrasch eller en oändlig slinga och som kunde startas utifrån.
För den stabila utgåvan (Lenny) har dessa problem rättats i version 1.0.4-1+lenny1.
För uttestningsutgåvan (Squeeze) och den instabila utgåvan (Sid) har dessa problem rättats i version 1.0.4-3.
Vi rekommenderar att ni uppgraderar era polipo-paket.
- CVE-2009-3305
- Rättat i:
-
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1.dsc
- http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.