Säkerhetsbulletin från Debian

DSA-2002-1 polipo -- överbelastningsattack

Rapporterat den:
2010-02-19
Berörda paket:
polipo
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 547047, Fel 560779.
I Mitres CVE-förteckning: CVE-2009-3305, CVE-2009-4413.
Ytterligare information:

Flera överbelastningssårbarheter har upptäckts i polipo, en liten, cachande webbproxy. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2009-3305

    En illvillig server utifrån kunde få polipo att krascha genom att skicka ett ogiltigt Cache-Control-huvud.

  • CVE-2009-4143

    En illvillig klient kunde få polipo att krascha genom att skicka ett stort Content-Length-värde.

Denna uppgradering rättar också några andra fel som kunde leda till en serverkrasch eller en oändlig slinga och som kunde startas utifrån.

För den stabila utgåvan (Lenny) har dessa problem rättats i version 1.0.4-1+lenny1.

För uttestningsutgåvan (Squeeze) och den instabila utgåvan (Sid) har dessa problem rättats i version 1.0.4-3.

Vi rekommenderar att ni uppgraderar era polipo-paket.

Rättat i:

Debian GNU/Linux 5.0 (lenny)

Källkod:
http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1.dsc
http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1.diff.gz
http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/p/polipo/polipo_1.0.4-1+lenny1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.