Bug

Phong Nguyen egy komoly hibát fedezett fel a GnuPG ElGamal kulcs generálásában és kezelésében.

2003. nov. 12. DSA 400-1 omega-rpg - puffer túlcsordulás

2003. nov. 17. DSA 401-1 hylafax - formátum sebezhetőség (remote root exploit lehetséges!)

2003. nov. 17. DSA 402-1 minimalist - ellenőrizetlen bemenet (távoli parancsfuttatás!)

[2003. nov. 10.] DSA-399 epic4 - puffer túlcsordulás

[2003. nov. 10.] DSA-398 conquest - puffer túlcsordulás

Csomag: postgresql

Sebezhetőség: puffer túlcsordulás

Probléma típus: távoli

Debian-specifikus: nem

CVE Id: CAN-2003-0901

Bugtraq ID: 8741Tom Lane talált egy puffer túlcsorulási hibát a PostgreSQL to_ascii függvében. Ez lehetővé teszi távoli támadók számára, hogy tetszőleges bináris kódot végrehajtsanak az adatbázist futtató gépen.


Az aktuális stabil terjesztésben (woody) a 7.2.1-2woody4 verziójú csomag javítja a hibát.

Az instabil terjesztés (sid) nem tartalmazza a problémát.


A postgresql csomag frissítését javasoljuk.


Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: tomcat4

Sebezhetőség: hibás bemenet kezelés

Probléma típusa: távoli

Debian specifikus: nem

Csomag: openssl095

Sebezhetőség: ASN.1 értelmezési sebezhetőség

Probléma-Típusa: távoli

Debian specifikus: nem

CVE referenciák: CAN-2003-0543 CAN-2003-0544 CAN-2003-0545Martin Schulze eredeti bejelentése a debian-security-announce listán itt.

A frissítésről szóló FAQ-nk itt.

[2003. okt. 1.] DSA-393 openssl - DoS

[2003. szept. 29.] DSA-392 webfs - puffer túlcsorulás, file és könyvtár felfedés

[2003. szept. 28.] DSA-391 freesweep - puffer túlcsordulás

[2003. szept. 26.] DSA-390 marbles - puffer túlcsordulás

A frissítésről szóló FAQ-nk itt.

írta: Gabucino


Súlyossági fokozat:

MAGAS (ASX streaming tartalom lejátszása esetén)

ALACSONY (szokásos file-ok lejátszása esetén)


Leírás:

Egy távolról kihasználható buffer túlcsordulást találtunk az MPlayerben. A rosszindulatú támadó létrehozhat egy olyan ASX file-t, melynek beolvasásakor az MPlayer lefuttatja a file-ban lévő ártalmas kódot.
Érintett MPlayer verziók:

MPlayer 0.90pre sorozat

MPlayer 0.90rc sorozat

MPlayer 0.90

MPlayer 0.91

MPlayer 1.0pre1


Nem érintett MPlayer verziók:

MPlayer 0.90pre1 előttiek

MPlayer 0.92

MPlayer fejlesztői CVS


Értesítés:

A fejlesztők értesítése 2003.09.24-én történt meg.

A javítás 2003.09.25 02:36:36 órakor került be a CVS-be.

Az MPlayer 0.92 (csak a sebezhetőség javítását tartalmazza) 2003.09.25 12:00:00 órakor lett kiadva.


Letölthető patch:

Az összes érintett verzióra használható patch innen tölthető le.


Ajánlott frissítések:

Az MPlayer 1.0pre1 felhasználói a legújabb CVS-t,

Az MPlayer 0.91 (és ez alatti verziók) használói a 0.92-t, vagy a legújabb CVS-t használják.


Az MPlayer 0.92 a következő helyekről tölthető le:

* Magyarország 1, HTTP -> http://www1.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2

* Magyarország 1, FTP -> ftp://ftp1.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2

* Magyarország 2, HTTP -> http://www2.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2

* Magyarország 2, FTP -> ftp://ftp2.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2

* USA, HTTP -> http://ftp3.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2

* USA, FTP -> ftp://ftp3.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2

* Svájc, HTTP -> http://www4.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2

* USA2, HTTP -> http://ftp5.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2

* USA2, FTP -> ftp://ftp5.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2

* Ausztrália, FTP -> ftp://ftp6.mplayerhq.hu/pub/mplayer/releases/MPlayer-0.92.tar.bz2

* Finnország, HTTP -> http://www7.mplayerhq.hu/pub/mplayer/releases/MPlayer-0.92.tar.bz2

Mostanában elég sok hibajelentés van, itt egy újabb, ezúttal az X-force-tól érkezett, és a ProFTPD-re vonatkozik.