Bug

Csomag: kernel-patch-2.4.17-s390, kernel-image-2.4.17-s390

Sebezhetőség: helyi privilégium emelés

Probléma típusa: helyi

Debian specifikus: nem

CVE Id: CAN-2003-0127A stabil terjesztésben (woody) a hibát az alábbi csomagok javítják:

kernel-patch-2.4.17-s390: 0.0.20020816-0.woody.1.1-es verzió

kernel-image-2.4.17-s390: 2.4.17-2.woody.2.2-es verzió

A régebbi stabil terjesztésben (potato) nem található meg ez a hiba, mert az s390 architektúra támogatása a Debian GNU/Linux 3.0-tól (woody) van jelen.

Az instabil terjesztésben (sid) a hibát hamarosan javítják.

Javasoljuk a kernel-images csomagok azonnali frissítését.

Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: lpr-ppd

Sebezhetőség: puffer túlcsordulás

Probléma típus: helyi

Debian-specifikus: nem

CVE Id: CAN-2003-0144

Puffer túlcsordulást okozó hibát találtak az lpr-ben (BSD lpr/lpd nyomtatási rendszer). A hibát kihasználó helyi felhasználó root jogokhoz juthat még akkor is, ha a nyomtatási rendszer jól van beállítva.

Újabb kritikus Sendmail hiba, újabb javító kiadás. Megjelent a Sendmail 8.12.9. Ez a verzió javítást tartalmaz arra kritikus biztonsági problémára, amelyet Michal Zalewski fedezett fel. A Sendmail 8.12.8-ban egy puffer túlcsordulási bug van, amely távolról kihasználható. Erősen ajánlott a Sendmail felhasználóknak, hogy mielőbb frissítsenek a 8.12.9-re, vagy használják a patch-et.

[CERT hibajegy] [forrás letöltés itt]

Csomag: mutt

Sebezhetőség: puffer túlcsordulás

Probléma típusa: távoli

Debian specifikus: nem

CVE Id: CAN-2003-0167A stabil terjesztésben (woody) a problémát a 1.3.28-2.2-es verziójú csomag javítja.

A régebbi stabil terjesztést (potato) szintén érinti a probléma, a javítás hamarosan érkezni fog.

Az instabil terjesztésben (sid) ezt a problémát a 1.4.0-ás verziójú csomag javítja.

A mutt csomag azonnali frissítését javasoljuk.

Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: krb4

Sebezhetőség: kriptografikus gyengeség

Probléma típusa: távoli

Debian specifikus: nem

CVE Id: CAN-2003-0138

CERT hibajegy: VU#623217A stabil terjesztésben (woody) a hibát a 1.1-8-2.3-as verziójú csomag javítja.

A régebbi stabil terjesztésben (potato) a problémát a 1.0-2.3-as verziójú csomag javítja.

Az instabil terjesztésben (sid) a problémát az 1.2.2-1-es verziójú csomag javítja.

A krb4 csomag azonnali frissítését javasoljuk.

Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: dietlibc

Sebezhetőség: egész túlcsordulás

Probléma típusa: távoli

Debian specifikus: nem

CVE Id: CAN-2003-0028

CERT hibajegy: VU#516825 CA-2003-10A stabil terjesztésben (woody) a hibát a 0.12-2.5-ös verziójú csomag javítja.

A régebbi stabil terjesztés (potato) nem tartalmazza a dietlibc

csomagot.

Az instabil terjesztésben (sid) a hibát a 0.22-2-es csomag javítja.

A dietlibc csomag frissítését javasoljuk.

Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: ecartis, listar

Sebezhetőség: illetéktelen jelszó változtatás

Probléma típus: távoli

Debian-specifikus: nem

CVE Id: CAN-2003-0162


A problémát találtak az ecartisban, ami egy levelezési listakezelő, korábban listarként ismeretes. Ez a sebezhetőség lehetővé teszi a támadónak, hogy alapállapotba hozza bármely a listaszerveren definiált felhasználó jelszavát, beleértve a listaadminisztrátorokét is.Az aktuális stabil terjesztés (woody) ezt a problémát a 0.129a+1.0.0-snap20020514-1.1 verziójú ecartisban javítja.


A régi stabil terjesztés (potato) ezt a problémát a 0.129a-2.potato3 verziójú listarban javítja.


Az instbil terjesztés (sid) ezt a problémát a 1.0.0+cvs.20030321-1 verziójú ecartisban javítja.


Az ecartis és listar csomagok frissítését javasoljuk.


Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomagok: kernel-patch-2.4.17-mips, kernel-patch-2.4.19-mips

Sebezhetőség: helyi jogosultság kiterjesztés

Probléma típus: helyi

Debian-specifikus: nem

CVE Id: CAN-2003-0127


A kernel modul betöltőn a Linux 2.2 és Linux 2.4 kernelekben van egy biztonsági rés a ptraceben. Ez a luk lehetővé teszi helyi felhasználók számára, hogy hozzákapcsódjanak egy gyerekprocesszushoz, amit a kernel indított. A luk távoli kihasználása nem lehetséges.Ez a hibajegy csak a kis és nagy indián típusú MIPS architektúrákra vonatkozik. A többi architektúráról másik hibajegy fog szólni.


Az aktuális stabil terjesztés (woody) ezt a problémát a 2.4.17-0.020226.2.woody1 verziójú kernel-patch-2.4.17-mips csomagban (mips+mipsel) javítja és a 2.4.19-0.020911.1.woody1 verziójú kernel-patch-2.4.19-mips csomagban (csak mips).


A régi stabil terjesztés (potato) nem érintett a problémában, lévén a Debian GNU/Linux 3.0 (woody) volt az első amit a mips és mipsel architektúrákra is kiadtak.


Az instabil terjesztés (sid) ezt a problémát a 2.4.19-0.020911.6 verziójú kernel-patch-2.4.19-mips csomagban javítja (mips+mipsel).


A kernel-images csomagok azonnali frissítését javasoljuk

Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: heimdal

Sebezhetőség: kriptografikus gyengeség

Probléma típusa: távoli

Debian specifikus: nem

CVE Id: CAN-2003-0138

CERT hibajegy: VU#623217

Javított csomagok: Woody (stabil) -> 0.4e-7.woody.6

Potato (régi stabil) -> nem érintett a hibában

Sid (instabil) -> 0.5.2-1.

Javasoljuk a heimdal csomagok azonnali frissítését.

Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: mutt

Sebezhetőség: puffer túlcsordulás

Probléma típusa: távoli

Debian specifikus: nem

Bugtraq ID: 7120

CVE Id: CAN-2003-0140

A Core Security Technologies puffer túlcsorulási hibát fedezett fel a mutt IMAP kódjában, amely egy szöveges-alapú levél olvasó kliens IMAP, MIME, GPG, PGP és threading támogatással. A problémát kihasználva a távoli rosszhiszemű IMAP szerver DoS (denial of service) támadást tud intézni a mutt klienset futtató felhasználó ellen, vagy tetszőleges kódot tud futtatni az áldozat gépén a mail könyvtáron keresztül.A stabil terjesztésben (woody) az 1.3.28-2.1-es verziójú csomag javítja a hibát.

A régebbi stabil terjesztésben (potato) található mutt csomag nem érintett a hibában.

Az instabil terjesztésben (sid) a 1.5.4-1-es verziójú csomag javítja a hibát.

Javasoljuk a mutt csomagok frissítését.

Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.