Bug

Csomag: xfree86

Sebezhetőség: integer és stack túlcsordulás

Probléma típusa: távoli

Debian specifikus: nem

CVE id: CAN-2004-0687, CAN-2004-0688.

CERT: VU#537878, VU#882750Chris Evans számos stack és integer túlcsordulást fedezett fel a libXpm könyvtárban.

A stabil disztribúcióban (woody) a problemát a 4.1.0-16woody4-es;

az instabilban (sid) a 4.3.0.dfsg.1-8-as csomagverzióban javítják.

A libxpm csomagok frissítése ajánlott!

Martin Schulze bejelentése | hír a DSA lapon | a frissítésről szóló FAQ-nk.

Csomag: python2.2

Sebezhetőség: puffer túlcsordulás

Probléma típusa: távoli

Debian specifikus: nem

CVE Id: CAN-2004-0150

Debian Bug: 248946 269548Ez a frissítés javítja a DSA 458-2-t (gethostbyaddr rutin hiba).

A stabil disztribúcióban (woody) a problemát a 2.2.1-4.6-os csomagverzióban javítják.

A másik két (testing, unstable) disztribúció nem érintett.

A python2.2 csomagok frissítése ajánlott!

Martin Schulze bejelentése | hír a DSA lapon | a frissítésről szóló FAQ-nk.

Csomag: samba

Sebezhetőség: tetszőleges fájl hozzáférés

Probléma-típusa: távoli

Debian-specifikus: nem

CVE ID: CAN-2004-0815A sambaban felfedezett sebezhetőség kihasználásával a támadó a megosztáson kívül eső könyvtárban lévő fájlokhoz is hozzáférhet.

A stabil disztribúcióban (woody) a problemát a 2.2.3a-14.1-es csomagverzióban javítják.

Az instabil- (sid) és a testing (sarge) terjesztést nem érinti a hiba.

A samba csomagok frissítése ajánlott!

Martin Schulze bejelentése | hír a DSA lapon | a frissítésről szóló FAQ-nk.

Csomag: net-acct

Sebezhetőség: nem biztonságos átmeneti fájlok

Probléma-típusa: helyi

Debian-specifikus: nem

CVE ID: CAN-2004-0851

Debian bug: 270359Stefan Nordhausen fedezett fel egy helyi biztonsági rést a a net-acct-ban.

A stabil disztribúcióban (woody) a problemát a 0.71-5woody1-es;

az instabilban (sid) a 0.71-7-es csomagverzióban javítják.

A net-acct csomagok frissítése ajánlott!

Martin Schulze bejelentése | hír a DSA lapon | a frissítésről szóló FAQ-nk.

Csomag: libapache-mod-dav

Sebezhetőség: null pointer dereference

Probléma-típusa: távoli

Debian-specifikus: nem

CVE ID: CAN-2004-0809Julian Reschke fedezte fel a problémát az Apache2 mod_dav-ben. Apache2-őt threaded módban használva (Apache 2.0.50 és azelőtti verziók) a hiba kihasználásával az egész http szerver DoSolhatóvá válik (child process crash).

A stabil disztribúcióban (woody) a problemát az 1.0.3-3.1-es;

az instabilban (sid) az 1.0.3-10-es libapache-mod-dav és a 2.0.51-1-es Apache2 csomagverzióban javítják.

A libapache-mod-dav csomagok frissítése ajánlott!

Martin Schulze bejelentése | hír a DSA lapon | a frissítésről szóló FAQ-nk.

Csomag: rp-pppoe, pppoe

Sebezhetőség: hiányzó privilégium elhagyás

Probléma-típusa: helyi

Debian-specifikus: nem

CVE ID: CAN-2004-0564Max Vozeler fedezte fel a sebezhetőséget a pppoe-ben, a PPP over Ethernet driverben. Ha a program setuid root-ként fut, akkor a támadó a fájlrendszer bármelyik fájlját felülírhatja.

A stabil disztribúcióban (woody) a problemát a 3.3-1.2-es;

az instabilban (sid) a 3.5-4-es csomagverzióban javítják.

A pppoe csomagok frissítése ajánlott!

Martin Schulze bejelentése | hír a DSA lapon | a frissítésről szóló FAQ-nk.

Csomag: netkit-telnet (telnetd)

Sebezhetőség: invalid free(3)

Probléma-típusa: távoli

Debian-specifikus: igen

CVE ID: CAN-2004-0911

Debian Bug: 273694Michal Zalewski fedezte fel a problémát a netkit-telnet szerverben (telnetd), melynek kihasználásával a távoli támadó a telnetd processzt hibás mutató-felszabadításra kényszerítheti. Ezután a telnet szerver processz crash-el (inetd letiltja a szolgáltatást, ha folyamatos a támadás -> DoS), vagy akár tetszőleges kód válik futtathatóvá a telnetd processz jogaival (alapértelmezetten 'telnetd' felhasználó).

A stabil disztribúcióban (woody) a problemát a 0.17-18woody1-es;

az instabilban (sid) a 0.17-26-os csomagverzióban javítják.

A netkit-telnet csomagok frissítése ajánlott!

Martin Schulze bejelentése | hír a DSA lapon | a frissítésről szóló FAQ-nk.

Csomag: freenet6

Sebezhetőség: helytelen fájljogok

Probléma-típusa: távoli

Debian-specifikus: igen

CVE ID: CAN-2004-0563

Debian Bug: 254709Simon Josefsson jelezte a problémát, miszerint alapértelmezés szerint a tspc.conf konfigurációs fájl mindenki által olvasható. Ez a fájl felhasználónevet és jelszót tartalmaz, ezáltal illetéktelenek megszerezhetik ezeket az információkat.

A stabil disztribúcióban (woody) a problemát az 0.9.6-1woody2-es;

az instabilban (sid) az 1.0-2.2-es csomagverzióban javítják.

A freenet6 csomagok frissítése ajánlott!

Martin Schulze bejelentése | hír a DSA lapon | a frissítésről szóló FAQ-nk.

DSA-554 sendmail: pre-set password (debian specifikus)

DSA-553 getmail: symlink vulnerability

Csomag: lukemftpd

Sebezhetőség: nem megfelelő belső változó-kezelés

Probléma-típusa: távoli

Debian-specifikus: nem

CVE ID: CAN-2004-0794Przemyslaw Frasunek fedezte fel a hibát a tnftpd-ben (lukemftpd - ftp démon a NetBSD-ből), amely kihasználásával tetszőleges kód válik futtathatóvá az áldozat gépén.

A stabil disztribúcióban (woody) a problemát az 1.1-1woody2-es;

az instabilban (sid) az 1.1-2.2-es csomagverzióban javítják.

A lukemftpd csomagok frissítése ajánlott!

Martin Schulze bejelentése | hír a DSA lapon | a frissítésről szóló FAQ-nk.