Bug

Csomag: typespeed

Sebezhetőség: puffertúlcsordulás

Probléma típusa: távoli

Debian specifikus: nem

CVE Id: CAN-2003-0435A typespeed egy játék, amelyben a játékosoknak szavakat kell helyesen és minél gyorsabban gépelni. Tartalmaz hálózati módot is, amely lehetővé teszi, hogy különböző rendszereken mérkőzzenek meg a játékosok egymással. Ez a halózati kód tartalmaz puffer túlcsordulást, amely lehetővé teszi a támadónak tetszőleges kód végrehajtását a typespeed-et futtató felhasználó jogaival.

Az aktuális stabil (woody) disztribúció ezt a hibát a 0.4.1-2.2-es csomagverzióban;

A régi stabil (potato) a 0.4.0-5.2-es csomagverzióban javítja.

Az instabil terjesztésben (sid) ezt a problémát a későbbiekben javítják.

A typespeed csomagok frissítése javasolt!

Matt Zimmerman levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

A Nokia GGSN-ben (csak a release 1-ben), vagyis a finn gyártó GPRS átjáró támogatási csomópontjában egy crackerek által indítható DoS (Denial of Service, szolgáltatás megbénítása) támadásra lehetőséget adó biztonsági rést találtak.

Egy napra hat DSA, így a szokásostól eltérően csak egy összefoglalót adok közre:

Csomag : ethereal

Sebezhetőség : puffer túlcsordulás, egész túlcsordulás

Probléma típusa: távoli

Debian specifikus: nem

CVE Ids : CAN-2003-0356 CAN-2003-0357

Bővebben az eredeti bejelentésben itt.

Csomag : atftp

Sebezhetőség: puffer túlcsordulás

Probléma típusa : távoli

CVE Id : CAN-2003-0380

Bővebben az eredeti bejelentésben itt.Csomag : gnocatan

Sebezhetőség: puffer túlcsordulás, DoS

Probléma típusa: távoli

Bővebben az eredeti bejelentésben itt.

Csomag : nethack

Sebezhetőség : puffer túlcsordulás, hibás jogok

Probléma típusa : helyi

Debian specifikus: nem

CVE Id : CAN-2003-0358 CAN-2003-0359

Bővebben az eredeti bejelentésben itt.

Csomag : slashem

Sebezetőség : puffer túlcsordulás

Probléma típusa : helyi

Debian specifikus: nem

CVE Id : CAN-2003-0358

Bővebben az eredeti bejelentésben itt.

Csomag : cupsys

Sebezhetőség : DoS

Probléma típusa : távoli

Debian specifikus: nem

CVE Id : CAN-2003-0195

Bővebben az eredeti bejelentésben itt.

A frissítésről szóló FAQ-nk.

Csomag: kernel-patch-2.4.18-powerpc

Sebezhetőség: számos

Probléma típusa: helyi, távoli

Debian specifikus: nem

CVE Id-k: CVE-2002-0429, CAN-2003-0001, CAN-2003-0127, CAN-2003-0244, CAN-2003-0246, CAN-2003-0247, CAN-2003-0248, CAN-2003-0364.

Az előző bejelentés power pc-s "párja".Számos sebezhetőséget fedeztek fel a Linux kernelben:

Ez a figyelmeztetés csak a powerpc architektúrát érinti. Más architektúrákhoz külön figyelmeztetést készítenek.

A stabil terjesztés (woody) a powerpc architektúrán a hibákat a 2.4.18-1woody1 verziójú csomagban javítja.

Az instabil terjesztés (sid) esetében a hibákat a 2.4.20-2 verziójú kernel csomag már javította.

Javasoljuk a kernel csomagok frissítését.

Matt Zimmermann levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Aki követi a Debian Sid fejlődését észrevehette, hogy gond van az X szerverrel. A 4.2.1-7-es verzió hatására működésképtelen az XDM, a KDM (a GDM2 jól működik állítólag) és a startx. A baj forrása a GCC 3.3-ban keresendő.

Csomag: kernel

Sebezhetőség: számos

Probléma típusa: helyi, távoli

Debian specifikus: nem

CVE Id-k: CVE-2002-0429, CAN-2003-0001, CAN-2003-0127, CAN-2003-0244, CAN-2003-0246, CAN-2003-0247, CAN-2003-0248, CAN-2003-0364.Számos sebezhetőséget fedeztek fel a Linux kernelben:

Ez a figyelmeztetés csak az i386 (Intel IA32) architektúrákat érinti. Más architektúrákhoz külön figyelmeztetést készítenek.

A stabil terjesztés (woody) az i386-os architektúrákon a 2.4.18-as kernel forrásának javítását a kernel-source-2.4.18-9 csomag tartalmazza.

A kernel-image-2.4.18-1-i386 javítását a kernel-image-2.4.18-8, a kernel-image-2.4.18-i386bf javítását a kernel-image-2.4.18-5woody1 csomag tartalmazza.

Az instabil terjesztés (sid) esetében a hibákat a 2.4.20-as verziójú kernel már javította.

Javasoljuk a kernel csomagok frissítését.

Matt Zimmermann levele a debian-security-announce listán.

A frissítésröl szóló FAQ-nk.

Csomag: xaos

Sebezhetőség: helytelen setuid-root futtatás

Probléma típusa: helyi

Debian specifikus: nemA xaos (fraktálmegjelenítő program) egyes architektúrákon setuid-root bittel került telepítésre: az svgalib használatához ugyanis közvetlen hozzáférésre van szükség a videóhardverhez.

Az új csomagokban a binárisról lekerült a setuid bit. Azon felhasználókat akiknek az svgalib funkcionalitásaira van szükségük, soroljuk egy csoportba, és ez a csoport kapjon privilégiumokat.

A hiba a 3.0-18 (potato) verziót az i386 és alpha architektúrákon, a 3.0-23 (woody) verziót csak az i386-os architektúrán érinti.

A stabil terjesztésben (woody) a hibát javítja a 3.0-23woody1 verzió.

A régi stabil terjesztésben (potato) a hibát javítja a 3.0-18potato1 verzió.

Az instabil terjesztés (sid) ezt a hibát a 3.1r-4 verziójú csomagban javítja.

Javasoljuk a xaos csomag frissítését.

Matt Zimmermann levele a debian-security-announce listán.

A frissítésröl szóló FAQ-nk.

Csomag: eterm

Sebezhetöség: puffer túlcsordulás

Probléma típusa: helyi"bazarr" fedezte fel, hogy az eterm ETERMPATH környezeti változója puffer túlcsordulást okozhat. Ez lehetövé teszi a támadónak, hogy az "utmp" csoport privilégiumaihoz jusson.

A stabil terjesztésben (woody) a problémát a 0.9.2-0pre2002042903.1 verziójú csomag javítja.

A régi stabil terjesztés (potato) nem érintett a hibában.

Az instabil terjesztésben (sid) a hiba hamarosan javításra kerül.

Az eterm csomag frissítése ajánlott.

Matt Zimmermann levele a debian-security-announce listán.

A frissítésröl szóló FAQ-nk.

Csomag: gzip

Sebezhetőség: nembiztonságos átmenti fájlok

Probléma típus: helyi

Debian-specifikus: nemPaul Szabo fedezett fel a znew nevü scriptben egy hibát: az átmeneti fájlai létrehozásával symlink támadás hajtható végre.

A gzexe szkriptben hasonló - korábban már javított - hiba volt.

A stabil terjesztésben (woody) a problémákat az 1.3.2-3 verziójú csomag javítja.

A régi stabil terjesztésben (potato) az 1.2.4-33.2 verziójú csomag már javította a hibát.

Az instabil terjesztésben (sid) a hiba hamarosan javításra kerül.

A gzip csomagok frissítése ajánlott.

Matt Zimmerman levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: gps

Sebezhetőség: számos

Probléma típusa: helyi, távoli

Debian specifikus: nemgPS egy grafikus program, amely a rendszerprocesszek vizsgálatát teszi lehetővé. A most kiadott 1.1.0-ás csomagverzióban számos biztonsági sebezhetőség került javításra, amelyek a csomag Changelog-jában megtalálhatók.

A stabil terjesztésben (woody) a 0.9.4-1woody1-es verziójú csomagban,

az instabil terjesztésben (sid) az 1.1.0-1-es csomagverzióban javítják a hibát.

A régebbi stabil terjesztés (potato) nem érintett.

A gps csomagok frissítése javasolt!

Matt Zimmerman levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk."