Bug

[2003. szeptember 12.] DSA-380 xfree86 puffer túlcsorulás, DoS

A frissítésről szóló FAQ-nk itt.

[2003. szeptember 11.] DSA-379 sane-backends - különböző sbezhetőségek

[2003. szeptember 7.] DSA-378 mah-jong - puffer túlcsoruás, DoS

Csomag: wu-ftpd

Sebezhetőség: tetszőleges program végrehajtás

Probléma típusa: távoli

Debian specifikus: nem

CVE Id-k: CVE-1999-0997A wu-ftpd olyan hibát tartalmaz, amelyet kihasználva a támadó tetszőleges programot tud végrehajtani az áldozat gépén annak a felhasználónak a nevében, aki a wu-ftpd folyamatot futtatja.

Matt Zimmerman eredeti bejelentése itt.

A frissítésről szóló FAQ-nk itt.

Csomag : exim exim-tls

Sebezhetőség : puffer túlcsordulás

Probléma típusa : távoli

Debian specifikus: nem

CVE Id-k : CAN-2003-074Puffer túlcsordulás hiba van az Eximben, a Debian alapértelmezett MTA-jában (mail transport agent). Jelenleg úgy tűnik, hogy a hiba nem használható fel tetszőleges kód futtatására.

Matt Zimmerman eredeti levele itt.

A frissítésről szóló FAQ-nk itt.

[2003. augusztus 29.] DSA-375 node - puffer túlcsordulás, format string

[2003. augusztus 26.] DSA-374 libpam-smb - puffer túlcsorulás

[2003. augusztus 26.] DSA-344 unzip - directory traversal (új verzió)A frissítésről szóló FAQ-nk itt.

A Bugtraq levelezőlistán jelent meg egy hír, amely szerint a BitKeeper súlyos hibát tartalmaz, amely egy speicális formátumú patch elfogadásával használható ki. Működő exploit létezik rá, a részletek érthető okokból egyelőre nem nyilvánosak.

További információ itt

[2003. aug. 13.] DSA-358 linux-kernel-2.4.18 - különböző sebezhetőségek ("oops" fix)

Csomag: perl

Sebezhetőség: oldalközi scriptelhetőség

Probléma típus: távoli

Debian-specifikus: nem

CVE Idk: CAN-2003-0615Egy oldalközi scriptelős sebezhetőség létezik a CGI.pm start_form() függvényében. Ez a függvény a kimenetre küldi a felhasználó által megadott adatot az űrlap action attribútumába, annélkül, hogy kitisztítaná, lehetővé téve evvel egy távoli felhasználónak, hogy tetszőleges web scriptet futtasson a generált weboldalon. Bármelyik program, amelyik ezt a függvényt használja érintett lehet.


Az aktuális stabil terjesztés (woody) ezt a problémát az 5.6.1-8.3 verzióban javítja.


Az aktuális instabil terjesztls (sid) ezt a problémát az 5.8.0-19 verzióban javítja.


Javasoljuk a perl csomagok frissítését.

Matt Zimmerman levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

[2003. aug. 05.] DSA-366 eroaster - nem biztonságos átmeneti állomány

[2003. aug. 05.] DSA-365 phpgroupware - különböző sebezhetőségek

[2003. aug. 04.] DSA-364 man-db - puffer túlcsordulás, tetszőleges parancs futtatás

A frissítésről szóló FAQ-nk.

Csomag: postfix

Sebezhetőség: szolgáltatás letiltás, pattintás scannelés

Probléma-típus: távoli

Debian-specifikus: nem

CVE Idk: CAN-2003-0468, CAN-2003-0540



A postfix levéltovábbító ügynök Debian 3.0 beli változata két sebezhetőséget tartalmaz:CAN-2003-0468: A postfix lehetővé teszi egy támadó számára, hogy pattintással (bounce) scanneljen privát hálózatokat vagy a démont egy DDos eszközként felhasználva rávegye a démont, hogy csatlakozzon egy megfelelő IP cím megfelelő szolgáltatásához és fogadjon egy pattintott üzenetet vagy megfigyelje a sorbeli műveleteket hogy a küldési próbálkozása állapotáról informálódjon.


CAN-2003-0540: Egy jólformált fejléc cím
1) a sorkezelő zárolodását okozhatja, ameddig a bejegyzést el nem távolítják
2) felfüggesztheti az smtp figyelőt ami DoS-hoz vezet.


Az aktuális stabil terjesztés (woody) ezeket a problémákat az 1.1.11-0.woody3 verzióban javítja.

Az aktuális instabil terjesztés (sid) ezeket a problémákat hamarosan javítani fogja.


Javasoljuk a postfix csomagok frissítését.

Matt Zimmerman levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk

A Debian biztonsági FAQ-ja.