Bug

Csomag: gps

Sebezhetőség: számos

Probléma típusa: helyi, távoli

Debian specifikus: nemgPS egy grafikus program, amely a rendszerprocesszek vizsgálatát teszi lehetővé. A most kiadott 1.1.0-ás csomagverzióban számos biztonsági sebezhetőség került javításra, amelyek a csomag Changelog-jában megtalálhatók.

A stabil terjesztésben (woody) a 0.9.4-1woody1-es verziójú csomagban,

az instabil terjesztésben (sid) az 1.1.0-1-es csomagverzióban javítják a hibát.

A régebbi stabil terjesztés (potato) nem érintett.

A gps csomagok frissítése javasolt!

Matt Zimmerman levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk."

Csomag: sendmail

Sebezhetőség: nembiztonságos átmenti fájlok

Probléma típus: helyi

Debian-specifikus: nem



Paul Szabo talált bugokat három a sendmailhoz mellékelt scriptben, ahol az átmeneti fájlokat nembiztonságos módon hozzák létre (expn, checksendmail és doublebounce.pl). Ezek a bogarak lehetővé teszik a támadónak hogy a scriptet futtató felhasználó privilégiumaihoz jusson (beleértve a root-ot is).A stabil terjesztésben (woody) a problémákat a 8.12.3-6.4 verziójú csomag javítja.


A régi stabil terjesztésben (potato) a problémákat a 8.9.3-26.1 verziójú csomag javítja.


Az instabil terjesztésben (sid) a problémákat a 8.12.9-2 verziójú csomag javítja.


A sendmail csomagok frissítését javasoljuk.


Matt Zimmerman levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: lv

Sebezhetőség: privilégium kiterjesztés

Probléma típus: helyi

Debian-specifikus: nem

CVE Id: CAN-2003-0188
Leonard Stiles fedezte fel, hogy az lv, ami egy többnyelvű fájlnézegető, az aktuális könyvtárban található konfigurációs fájlból olvassa ki az opcióit. Mivel egy ilyen fájlt egy rosszakaratú felhasználó is odatehet, és az lv configurációs opcióit parancsok végrehajtására is fel lehet használni, ezt biztonsági sebezhetőségnek tekintjük. Egy támadó kihasználhatja az lv-t elindító felhasználó privilégiumait, beleértve a root-ot is.


A stabil terjesztésben (woody) ezt a problémát javítja a 4.49.4-7woody2 verzió.


A régi stabil terjesztés (potato) ezt a problémát a 4.49.3-4potato2 verzióban javítja.


Az instabil terjesztés (sid) ezt a problémát a
4.49.5-2 verzióban javítja.


Az lv csomag frissítését javasoljuk.


Matt Zimmerman levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: mysql

Sebezhetőség: privilégium kiterjesztés

Probléma típus: távoli

Debian-specifikus: nem

CVE Ids: CAN-2003-0073, CAN-2003-0150CAN-2003-0073: A mysql csomag egy hibát tartalmaz, amelyből kifolyólag a dinamikusan foglalt memóriaterületeket több mint egyszer szabadítja fel, amit szándékosan előidézhet egy támadó, evvel összeomlást előidézve, illetve DoS feltételt szolgáltatva. Rendszerint a sebezhetőség kihasználásához kell egy a mysql szerverben érvényes felhasználói név és jelszó páros, hogy a mysql szervert el lehessen érni.


CAN-2003-0150: A mysql csomag egy hibát tartalmaz, amiből kifolyólag egy gonosz felhasználó, a megfelelő mysqlbeli jogosultságokkal, létrehozhat egy olyan konfigurációs fájlt, amellyel elérheti, hogy a mysql szerver rootként fusson, ahelyett, hogy átlag felhasználóként, vagy a mysql felhasználóként futna.


A stabil terjesztében (woody) mindkét problémát javítja a
3.23.49-8.4 verzió.


A régi stabil terjesztés (potato) csak a CAN-2003-0150 hibában érintett, és ezt a 3.22.32-6.4 verzió javítja.


Az instabil terjesztés (sid) a CAN-2003-0073 hibát a 4.0.12-2 verzióban javítja és a CAN-2003-0150 hiba pedig hamarosan javítva lesz.


A mysql csomagok frissítését javasoljuk

Matt Zimmerman levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: fuzz

Sebezhetőség: privilégium-kiterjesztés

Probléma típusa: helyi

Debian specifikus: nemJoey Hess felfedezett egy hibát a fuzz-ban, a szoftver stressz-tesztelőben. Az átmeneti fájlok elővigyázatosság nélkül kerülnek létrehozásra, a probléma kihasználásával a támadó a fuzz-t meghívó felhasználó jogait megszerezheti, kivéve a root-ét. (nem megengedett a fuzz rootként való futtatása)

A stabil terjesztésben (woody) a 0.6-6woody1-es verziójú csomagban,

az instabil terjesztésben (sid) a későbbiekben javítják a hibát.

A régebbi stabil terjesztés (potato) nem érintett, mivel nem tartalmaz fuzz csomagot.

A fuzz csomagok frissítése javasolt!

Matt Zimmerman levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: libgtop

Sebezhetőség: puffer túlcsordulás

Probléma típus: távoli

Debian-specifikus: nem

CVE Id: CAN-2001-0928A gtop démon, amely a távoli gépek megfigyelésére szolgál puffer túlcsordulás hibát tartalmaz. A probléma kihasználásával tetszőleges kód válik végrehajthatóvá a démont futtató felhasználó jogaival. Rootként elindítva a démon processz eldobja a root jogokat és 99-es uid és gid-del folytatja tovább működését.

A hiba előzőleg javításra került a DSA-098-ban, de a foltok közül egy nem lett átvéve a későbbi libgtop verziókba.

A stabil terjesztésben (woody) az 1.0.13-3.1-es verziójú csomagban,

a régebbi stabil terjesztésben (potato) a DSA-098,

az instabil terjesztésben (sid) az 1.0.13-4-es csomagverzióban javítják a hibát.

A libgtop csomagok frissítése javasolt!

Matt Zimmerman levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: leksbot

Sebezhetőség: téves setuid-root futtatás

Probléma típus: helyi

Debian-specifikus: igenMaurice Massar egy csomaghibát fedezett fel a leksbotban. A /usr/bin/KATAXWR véletlenül setuid root-ként települ fel. Ez a program nem setuid-futásra lett optimalizálva, ezáltal számos sebezhetőséget tartalmaz, amiket kihasználva root jog szerezhető.

A stabil terjesztésben (woody) az 1.2-3.1-es verziójú csomagban,

az instabil terjesztésben (sid) az 1.2-5-ös csomagverzióban javítják a hibát.

A régebbi stabil terjesztés (potato) nem érintett, mivel nem tartalmaz leksbot csomagot.

A leksbot csomagok frissítése javasolt!

Martin Schulze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: balsa

Sebezhetőség: puffer túlcsordulások

Probléma típus: távoli

Debian-specifikus: nem

CVE Id: CAN-2003-0167Byrial Jensen számos problémát fedezett fel a Mutt IMAP kódjában, amit a Balsa szintén importált. A hiba kihasználásával a kliens összeomolhat (DoS) vagy tetszőleges kód válik végrehajthatóvá.

A stabil terjesztésben (woody) a 1.2.4-2.2-es verziójú csomagban javítják a hibát.

A régebbi stabil terjesztés nem érintett.

Az instabil terjesztésben (sid) a problémát még nem javították.

A balsa csomagok frissítése javasolt!

Martin Schulze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: epic4

Sebezhetőség: puffer túlcsorulás

Probléma típusa : távoli

Debian specifikus: nem

Timo Sirainen több hibát is felfedezett a EPIC4-ben, amely egy népszerű Internet Relay Chat (IRC) kliens. A rosszindulatú IRC szerver képes speciálisan formázott reply sztringeket küldeni a kliensnek, amely hatására a kliens túlír a puffer határain. Ez DoS-hoz (denial of service) vezethet, vagy rosszabb esetben tetszőleges kódot lehet futtatni annak a felhasználónak a jogaival aki IRC-zik.

Megjegyzés: SOHA NE irc-zz "root"-ként.A stabil terjesztésben (woody) a hibát az 1.1.2.20020219-2.1-es verziójú csomag javítja.

A régebbi stabil terjesztésben (potato) a hibát a pre2.508-2.3 verziójú csomag javítja.

Az instabil terjesztésben (sid) a hibát az 1.1.11.20030409-1-es verziójú csomag javítja.

Javasoljuk, hogy frissítsd az EPIC4 csomagjaid.

Martin Schulze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: snort

Sebezhetőség: egész túlcsordulás, puffer túlcsorulás

Probléma típusa: távoli

Debian specifikus: nem

CVE Ids : CAN-2003-0033 CAN-2003-0209

CERT advisories: VU#139129 VU#916785

Bugtraq Ids : 7178 6963A stabil terjesztésben (woody) ezeket a hibákat a 1.8.4beta1-3.1-es verziójú csomag javítja.

A régebbi stabil teresztés (potato) nem érintett, mert nem tartalmazza a problémás kódot.

Az instabil terjesztésben (sid) ezeket a hibákat a 2.0.0-1-es verziójú csomag javítja.

Javasoljuk, hogy azonnal frissítsd a snort csomagjaidat.

Martin Schulze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.