Bug

Csomag: w3mmee

Sebezhetőség: hiányzó HTML idézet

Probléma típusa: távoli

Debian specifikus: nem

CVE Id: CAN-2002-1335 CAN-2002-1348

Javasoljuk, hogy frissítsd a w3mmee csomagjaidat.

Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: courier

Sebezhetőség: hiányzó bemeneti adat ellenőrzés

Probléma típusa: távoli

Debian specifikus: nem

CVE Id: CAN-2003-0040

A courier (integrált felhasználó-oldali mail szerver) fejlesztői biztonsági problémát fedeztek fel a courier PostgreSQL authentikációs moduljában. Nem az összes potenciálisan veszélyes karakter kerül ellenőrzésre, mikor a felhasználónév kapcsolatba kerül a PostgreSQL motorral. A támadó tetszőleges SQL parancsokkal és lekérdezésekel tudja kihasználni a sebezhetőséget. A MySQL auth modul nem érintett.A stabil terjesztésben (woody) a hibát a 0.37.3-3.3-as csomag javítja.

A régebbi stabil terjesztés (potato) nem tartalmazza a courier csomagot.

Az unstable terjesztésben (sid) ezt a hibát a 0.40.2-3-as csomag javítja.

Javasoljuk a tomcat csomagok frissítését.

Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag : tomcat

Sebezhetőség : információ felfedés, oldalak közötti szkriptelhetőség

Probléma típusa : távoli

Debian specifikus: nem

CVE Id : CAN-2003-0042 CAN-2003-0043 CAN-2003-0044

A tomcat fejlesztői számos problémát találtak a tomcat 3.x verziójában.A stabil terjesztésban (woody) a hibát a 3.3a-4.1-es csomag javítja.

A régebbi stabil terjesztés (potato) nem tartalmazza a tomcat csomagot.

Az unstable terjesztésben (sid) a hibát a 3.3.1a-1-es csomag javítja.

Javasoljuk a tomcat csomagok frissítését.

Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag : dhcp3

Sebezhetőség : mellőzőtt számláló határvonal

Probléma típusa : távoli

Debian specifikus: nem

CVE Id : CAN-2003-0039

Florian Lohoff egy bugot fedezett fel a dhcrelay kódjában, amelynek következtében az csomag áradatot küld a konfigurált DHCP szerver(ek) felé abban az esetben, ha rosszindulatú BOOTP csomagokat kap, mondjuk egy bugos Cisco switch-től.A stabil terjesztésben (woody) ezt a hibát a 3.0+3.0.1rc9-2.2-es csomag javítja.

A régebbi stabil terjesztésben (potato) nem található meg ez a csomag.

Az unstable terjesztésben (sid) ezt a hibát az 1.1.2-1-es csomag javítja.

Javasoljuk a dhcp3 csomagok frissítését.

Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag : noffle

Sebezhetőség : puffer túlcsordulás

Probléma típusa : távoli

Debian specifikus: nem

CVE Id : CAN-2003-0037

Dan Jacobson figyelmeztetett egy problémára, amely a noffle csomagban van jelen. A noffle egy offline news szerver, és a benne felfedezett hiba `segmentation fault'-hoz vezet. Az még nem teljesen tiszta, hogy a hiba kihasználható-e. Ha kihasználható, akkor a távoli támadó tetszőleges kódot futtathat annak a felhasználónak a nevében, aki meghívja a noffle-t (lehetséges, hogy a news felhasználó).A stabil terjesztésben (woody) ezt a problémát az 1.0.1-1.1-es csomag javítja.

A régi stabil terjesztés (potato) nem tartalmazza a noffle

csomagot.

Az unstable terjesztésben (sid) ezt a problémát az 1.1.2-1-es csomag javítja.

Javasoljuk a noffle csomagok frissítését.

Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Bugzik a KDE. A Debian ezen a héten számos KDE csomaggal kapcsolatos hibajegyet adott ki. A szokástól eltérően nem írok részletes jegyzéket, mert szinte lehetetlen. Az alábbi csomagok bugzanak:

• kdeadmin
  
• kdegraphics
  
• kdelibs
  
• kdenetwork
  
• kdepim
  
• kdesdk
  
• kdegames
  
• kdeutils
  
• kdebase
  
• kdemultimedia
  

A fent említett csomagok frissítését javasoljuk. A frissítésről szóló FAQ-nk.

Csomagok : cvs

Sebezhetőség : duplán felszabadított memória

Probléma-típusa : távoli

Debian-specifikus: nem

CVE Id : CAN-2003-0015

Stefan Esser fedezett fel egy biztonsági hibát a cvs-ben, az ismert verzió követő rendszerben. A jelenlegi verzióban egy olyan hibát fedeztek fel, amely lehetővé teszi a távoli támadónak, hogy tetszőleges kódot futtasson a CVS szerveren annak a felhasználónak a jogaival, aki a CVS szervert futtatja. Az anonymous read-only hozzáférés elegendő a hiba kihasználásához.A jelenlegi stabil terjesztésben (woody) ezt a hibát az 1.11.1p1debian-8.1-es csomag javítja.

A régebbi stabil terjesztésben az 1.10.7-9.2-es csomag javítja a hibát.

Az unstable terjesztésben (sid) hamarosan javítják a hibát.

A cvs csomagok frissítését javasoljuk.

Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: cupsys

Sebezhetőség: különböző

Probléma-típusa: távoli

Debian-specifikus: nem

CVE Id : CAN-2002-1366 CAN-2002-1367 CAN-2002-1368 CAN-2002-1369 CAN-2002-1371 CAN-2002-1372 CAN-2002-1383 CAN-2002-1384

Különböző sebezhetőséget fedeztek fel a Common Unix Printing System-ben (CUPS). Ezek közül a sebezhetőségek közül néhány távoli szerver "megtöréshez" vagy DoS-hoz vezet.A jelenlegi stabil disztribúcióban (woody), az 1.1.14-4.3 csomag javítja a hibákat.

A régi stabil disztribúcióban (potato), ezek a problémák javítva vannak az 1.0.4-12.1-es csomagban.

Az unstable terjesztésben (sid), ezeket a problémákat az 1.1.18-1-es csomag javítja.

Martin Schultze levele a debian-security-announce listán.
A frissítésről szóló FAQ-nk.

Csomag: dhcp3

Sebezhetőség: veremtúlcsordulás

Probléma típus: távoli

Debian-specifikus: nem

CVE Id: CAN-2003-0026

CERT advisory : VU#284857 CA-2003-01Az Internet Szoftver Konzorcium (ISC) felfedezett számos sebezhetőséget az ISC DHCP Daemon auditálása közben. Ezek főleg a hibakezelő rutinokban (minires libekben) kihasználhatók, segítségével a távoli támadó tetszőleges kódot futtathat a dhcpd-t futtató userid alatt (ami általában root). Más DHCP szerverek nem érintettek.

Frissítés javasolt!

Az aktuális stabil (woody) disztribúció javítja ezt a hibát a 3.0+3.0.1rc9-2.1-es csomagverzióban;

Az instabil terjesztés (sid) ezt a problémát javítja a 3.0+3.0.1rc11-1-es csomagverzióban;

A régi stabil (potato) nem érintett (nem tartalmaz dhcp3 csomagot).

Csomag: bugzilla

Sebezhetőség: nem biztonságos engedélyek, hamis másolatfájlok

Probléma típus: helyi

Debian-specifikus: nem

CVE Id: CAN-2003-0012 CAN-2003-0013

BugTraq Id: 6501 6502



Két sebezhetőséget találtak a szerzők a Bugzillában, ami egy web alapú hibakövető rendszer. A CVE az alábbi sebezhetőségeket azonosította:* CAN-2003-0012 (BugTraq ID 6502): A mellékelt adatgyűjtő script ami egy éjszakánként lefutó cronjob megváltoztatja az data/mining könyvtárat mindenki által írhatóra, minden alkalommal, amikor lefut. Ez lehetővé teszi a helyi felhasználóknak, hogy módosítsák, vagy töröljék az összegyűjtött adatokat.



* CAN-2003-0013 (BugTraq ID 6501): Az alapértelmezett .htaccess szkriptek amiket a cheksetup.pl-ben mellékelnek nem akadályozza meg a hozzáférést a localconfig fájl másolataihoz, amelyeket szövegszerkesztőkkel hozhatunk létre úgy mint pl. a vi-jal vagy az emacs-szel (általában ezek a .swp vagy a ~ utótagról ismerkednek). Ez lehetővé teszi a végfelhasználónak, hogy letöltsön egyet a biztonsági másolatokból és így lehetősége van az adatbázis jelszavad megszerezni.



Ez utóbbi nem vonatkozik a Debianos változatra lévén abban nincs .htaccess és az összes adatfájl nem a CGI path-ban van mint ahogy az a szabványos bugzilla csomagban van. Továbbá a konfiguráció a /etc/bugzilla/localconfig-ban van, kívül a webes könyvtáron.



Az aktuális stabil terjesztés (woody) ezt a problémát a 2.14.2-0woody4 verzióban javítja.



A régi stabil terjesztés (potato) nem tartalmaz Bugzilla csomagokat.



Az instabil terjesztés (sid) ezt a problémát hamarosan javíjta.



A bugzilla csomagok frissítését javasoljuk.



Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.