Bug

Csomag: kdebase

Sebezhetőség: nem biztonságos végrehajtás

Probléma típusa: távoli

Debian specifikus: nem

CVE Id: CAN-2003-0204

A KDE csapat egy sebezhetőséget fedezett fel, amely akkor jelentkezik ha a felhasználók a Ghostscript segítségével PostScript (PS) és PDF file-okat dolgoznak fel. A támadó speciálisan formázott PDF vagy Postscript küldhet email-ben vagy tehet közzé weboldalon, amely segítségével tetszőleges parancsot tud futtatni az áldozat gépén annak a felhasználónak a nevében amely a dokumentumot nézi.A stabil terjesztésben (woody) a hibát a 2.2.2-14.4-es verziójú csomag javítja.

A régebbi terjesztés (potato) nem érintett, mert nem tartalmazta a KDE-t.

Az instabil terjesztésben (sid) a hibát hamarosan javítják.

Martin Schulze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: pptpd

Sebezhetőség: puffer túlcsordulás

Probléma típusa: távoli

Debian specifikus: nem

CVE Id: CAN-2003-0213

Timo Sirainen egy távolról kihasználható sebezhetőséget fedezett fel a pptp csomagban. A rosszindulatú támadó "root" jogokhoz juthat a hiba kihasználása során. A stabil terjesztésben (woody) a hibát az 1.1.2-1.4-es verziójú csomag javítja.

A régebbi stabil terjesztésben (potato) a hibát az 1.0.0-4.2-es verziójú csomag javítja.

Az instabil terjesztésben (sid) a hibát az 1.1.4-0.b3.2 verziójú csomag javítja.

Javasoljuk, hogy azonnal frissítsd a pptpd csomagjaidat.

Martin Schulze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: kdelibs

Sebezhetőség: nem biztonságos futtatás

Probléma típusa: távoli

Debian specifikus: nem

CVE Id: CAN-2003-02-04A KDE csapat egy sebezhetőséget fedezett fel a Ghostscript szoftver PostScript (PS)- és PDF állományok feldolgozásánál. A támadó készíthet olyan PS vagy PDF fájlokat, amelyeket e-mail-ben elküldve vagy weboldalon terjesztve lehetővé válik tetszőleges kód futattása a megtekintő felhasználó jogaival, ha a böngésző elölnézeti könyvtárlistát jelenít meg.

A stabil terjesztésben (woody) a 2.2.2-13.woody.7-es verziójú csomagban javítják a hibát.

A régebbi stabil terjesztés nem érintett, mivel nem tartalmaz KDE-t.

Az instabil terjesztésben (sid) a problémát még nem javították.

A kdelibs és a hozzá kapcsolódó csomagok frissítése javasolt!

Martin Schulze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk."

Csomag: mime-support

Sebezhetőség: nem biztonságos átmeneti állomány létrehozása

Probléma típusa: helyi

Debian specifikus: nem

(a tegnapi csomagfrissítés nem egészen jól sikerült, ezért itt van az újabb verzió!)A teljesség kedvéért az eredeti DSA szövege:

"Colin Phipps számos problémát fedezett fel a mime-support csomagban (mime.types, mailcap). Az átmeneti állományok nem biztonságos létrehozásával a támadó azokat tetszőleges kóddal írhatja felül, a run-mailcap-ot futtató felhasználó jogaival (ez általában a root). Ennek a hibának kihasználásával támadhatóvá válhat a rendszer."

A stabil terjesztésben (woody) a 3.18-1.2-es verziójú csomagban,

a régebbi stabil terjesztésben (potato) a 3.9-1.2-es csomagban,

az instabil terjesztésben (sid) a 3.22-1-es csomagverzióban javítják a hibát (mint az előző DSA-ban).

A mime-support csomagok frissítése javasolt!

Martin Schulze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk."

Csomag: mime-support

Sebezhetőség: nem biztonságos átmeneti állomány létrehozása

Probléma típusa: helyi

Debian specifikus: nemColin Phipps számos problémát fedezett fel a mime-support csomagban (mime.types, mailcap). Az átmeneti állományok nem biztonságos létrehozásával a támadó azokat tetszőleges kóddal írhatja felül, a run-mailcap-ot futtató felhasználó jogaival (ez általában a root). Ennek a hibának kihasználásával támadhatóvá válhat a rendszer.

A stabil terjesztésben (woody) a 3.18-1.1-es verziójú csomagban,

a régebbi stabil terjesztésben (potato) a 3.9-1.1-es csomagban,

az instabil terjesztésben (sid) a 3.22-1-es csomagverzióban javítják a hibát.

A mime-support csomagok frissítése javasolt!

Martin Schulze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: ircii

Sebezhetőség: puffer túlcsordulások

Probléma típus: távoli

Debian-specifikus: nemTimo Sirainen számos problémát fedezett fel az ircII-ben, a populáris IRC-kliensben. A rosszindulatú szerver által küldött szándékosan hibás üzenetek puffertúlírást okozhatnak. A hiba kihasználásával a kliens összeomolhat vagy tetszőleges kód válik végrehajthatóvá a csevegő felhasználó jogaival.

A stabil terjesztésben (woody) a 20020322-1.1-es verziójú csomagban,

a régebbi stabil terjesztésben (potato) a 4.4M-1.1-es csomagban,

az instabil terjesztésben (sid) a 20030315-1-es csomagverzióban javítják a hibát.

Az ircII csomagok frissítése javasolt!

Martin Schulze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk. "

A CERT Advisory CA-2003-13 szerint két különböző sebezhetőség van a Snort Intrusion Detection System-ben (kedvelt IDS), amelyek az előfeldolgozó kódban vannak.

Csomag: sendmail-wide

Sebezhetőség: char-to-int konverzió

Probéma típusa: helyi, de lehet távoli is

Debian specifikus: nem

CVE Id: CAN-2003-0161

CERT figyelmeztetések: VU#897604 CA-2003-12A stabil terjesztésben (woody) a hibát a 8.12.3+3.5Wbeta-5.4 verziójú csomag javítja.

A régebbi stabil terjesztésben (potato) a hibát a 8.9.3+3.2W-25 verziójú csomag javítja.

Az instabil terjesztésben (sid) a hibát a 8.12.9+3.5Wbeta-1 verziójú csomag javítja.

Javasoljuk, hogy frissítsd a sendmail-wide csomagjaidat.

Martin Schulze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: rinetd

Sebezhetőség: helytelen memória átméretezés

Probléma típusa: távoli

Debian specifikus: nem

CVE Id: CAN-2003-0212Sam Hocevar fedezett fel egy biztonsági problémát az rinetd-ben, az ip kapcsolat átirányító szerverben. Ha a kapcsolatlista betelik, az rinetd átméretezi azt. Ha ez nem megfelelően hajtódik végre, akkor potenciálisan DoS olható lesz a program, illetve tetszőleges kód válik végrehajthatóvá.

A stabil terjesztésben (woody) a 0.61-1.1-es verziójú csomagban,

a régebbi stabil terjesztésben (potato) a 0.52-2.-es csomagban,

az instabil terjesztésben (sid) a 0.61-2-es csomagverzióban javítják a hibát.

Az rinetd csomagok frissítése javasolt!

Martin Schulze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk. "

Csomag: openssl

Sebezhetőség: különböző sebezhetőségek

Probléma típusa: távoli

Debian specifikus: nem

CVE Id: CAN-2003-0147 CAN-2003-0131
A stabil terjesztésben (woody) a hibákat a 0.9.6c-2.woody.3 csomag javítja.



A régebbi stabil terjesztésben a hibákat a 0.9.6c-0.potato.6 csomag javítja.



Az instabil terjesztésben (sid) a hibákat az alábbi csomagok javítják: 0.9.7b-1 (openssl) és 0.9.6j-1 (openssl096).



Javasoljuk, hogy azonnal frissítsd az openssl csomagjaidat, és indítsd újra azokat az alkalmazásokat amelyek használják az OpenSSL-t.



Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.