Bug

Csomag: courier

Sebezhetőség: puffer túlcsordulás

Probléma típus: helyi

Debian-specifikus: nem



Egy problémát találtak a Courier sqwebmail csomagban, ami egy CGI program, ami azonosított hozzáférést nyújt a helyi mailboxokhoz. A program nem dobja el a jogosultságokat elég gyorsan az indulásakor és megfelelő körülmények közt egy helyi shell-el rendelkező felhasználó futtathatja az sqwebmail binárist és lehtősége nyílik a helyi fájlrendszeren tetszőleges fájl elolvasására.A problémát a 0.37.3-2.3 verzió javítja az aktuális stabil terjesztésben (woody), és a 0.40.0-1 verzió az instabil terjesztésben (sid). A régi stabil terjesztés (potato) nem tartalmazza a Courier sqwebmail csomagokat.



Az sqwebamail csomagok azonnali frissítését javasoljuk.

Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: bind

Sebezhetőség: számos

Probléma típus: távoli

Debian-specifikus: nem

CVE Id: CAN-2002-1219 CAN-2002-1220 CAN-2002-1221

CERT advisory: VU#844360 VU#852283 VU#229595 VU#542971



[A Bind 9-es verziója, a bind9 csomag, nem érintett ezekben a hibákban.]

A hibák leírását angolul idéztem be, a folytatásban:
ISS X-Force has discovered several serious vulnerabilities in the Berkeley Internet Name Domain Server (BIND). BIND is the most common implementation of the DNS (Domain Name Service) protocol, which is used on the vast majority of DNS servers on the Internet. DNS is a vital Internet protocol that maintains a database of easy-to-remember domain names (host names) and their corresponding numerical IP addresses.



Circumstancial evidence suggests that the Internet Software Consortium (ISC), maintainers of BIND, was made aware of these issues in mid-October. Distributors of Open Source operating systems, including Debian, were notified of these vulnerabilities via CERT about 12 hours before the release
of the advisories on November 12th. This notification did not include any details that allowed us to identify the vulnerable code, much less prepare timely fixes.



Unfortunately ISS and the ISC released their security advisories with only descriptions of the vulnerabilities, without any patches. Even though there were no signs that these exploits are known to the black-hat community, and there were no reports of active attacks, such attacks could have been developed in the meantime - with no fixes available.



We can all express our regret at the inability of the ironically named Internet Software Consortium to work with the Internet community in handling this problem. Hopefully this will not become a model for dealing with security issues in the future.



The Common Vulnerabilities and Exposures (CVE) project identified the following vulnerabilities:



1. CAN-2002-1219: A buffer overflow in BIND 8 versions 8.3.3 and earlier allows a remote attacker to execute arbitrary code via a certain DNS server response containing SIG resource records (RR). This buffer overflow can be exploited to obtain access to the victim host under the account the named process is running with, usually root.



2. CAN-2002-1220: BIND 8 versions 8.3.x through 8.3.3 allows a remote attacker to cause a denial of service (termination due to assertion failure) via a request for a subdomain that does not exist, with an OPT resource record with a large UDP payload size.



3. CAN-2002-1221: BIND 8 versions 8.x through 8.3.3 allows a remote attacker to cause a denial of service (crash) via SIG RR elements with invalid expiry times, which are removed from the internal BIND database and later cause a null dereference.



A probléma javítva van a 8.3.3-2.0woody1 verzióban, az aktuális stabil terjesztésben (woody), illetve a 8.2.3-0.potato.3 verzióban a régi stabil terjesztésben (potato), és a 8.3.3-3 verzióban az instabil (sid) terjesztésben. A javított csomagok még a mai napon (Dan Jacobowitz Nov 14-én küldte be a DS-re a levelet) az archívumba kerülnek.The fixed packages for unstable will enter the archive today.



A bind csomag azonnali frissítését javasoljuk, illetve bind9-re frissítést, vagy egy másik DNS szerver implementációra váltást.



Dan Jacobowitz levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

A houstoni Linux Users Group (HLUG) tagjai trójai kódot fedeztek fel a libpcap és a tcpdump forráskódjában. Sajnos a hírek szerint a tcpdump.org-on található forrásban is benne van a a trójai kód, így akár bármely Linux/Unix disztribúció érintett lehet. A HLUG tagjai értesítették a tcpdump.org karbantartóit.

Részletek:* "The trojan contains modifications to the configure script and gencode.c (in libpcap only).

* The configure script downloads http://mars.raketti.net/~mash/services which is then sourced with the shell. It contains an embedded shell script that creates a C file, and compiles it.

* The program connects to 212.146.0.34 (mars.raketti.net) on port 1963 and reads one of three one byte status codes:

A - program exits

D - forks and spawns a shell and does the needed file descriptor manipulation to redirect it to the existing connection to 212.146.0.34.

M - closes connection, sleeps 3600 seconds, and then reconnects..."

Teljes sztori itt.

A FreeBSD biztonsági csapat 3 új figyelmeztetést adott ki.

Csomag: apache-perl

Sebezhetőség: számos

Probléma-típus: távoli, helyi

Debian-specifikus: nem

CVE Id: CAN-2002-0839
CAN-2002-0840
CAN-2002-0843
CAN-2001-0131
CAN-2002-1233

BugTraq ID: 5847
5884
5887



David Wagner, az iDEFENSE és az Apache HTTP Szerver Projekt szerint, számos távolról kihasználható sebezhetőséget találtak az Apache csomagban, ami egy általánosan használt webszerver. A kód nagyrésze közös az Apache és az Apache-Perl csomagokban, így a sebezhetőségek is közösek. (A CVE hivatkozásokat és taglalásaikat ismét angolul hagytam)Ezek a sebezhetőségek lehetővé teszik egy támadónak, hogy végrehajtsanak egy szolgáltatás letiltására vonatkozó támadást (DoS) a szerver ellen, vagy keresztszkriptelési támadást hajtsanak végre vagy sütiket lopjanak más weboldalak felhasználóitól. A Common Vulnerabilities and Exposures (CVE) projekt azonosította a következő sebezhetőségeket:



1. CAN-2002-0839: A vulnerability exists on platforms using System V shared memory based scoreboards. This vulnerability allows an attacker to execute code under the Apache UID to exploit the Apache shared memory scoreboard format and send a signal to any process as root or cause a local denial of service attack.



2. CAN-2002-0840: Apache is susceptible to a cross site scripting vulnerability in the default 404 page of any web server hosted on a domain that allows wildcard DNS lookups.



3. CAN-2002-0843: There were some possible overflows in the utility ApacheBench (ab) which could be exploited by a malicious server. No such binary programs are distributed by the Apache-Perl package, though.



4. CAN-2002-1233: A race condition in the htpasswd and htdigest program enables a malicious local user to read or even modify the contents of a password file or easily create and overwrite files as the user running the htpasswd (or htdigest respectively) program. No such binary programs are distributed by the Apache-Perl package, though.



5. CAN-2001-0131: htpasswd and htdigest in Apache 2.0a9, 1.3.14, and others allows local users to overwrite arbitrary files via a symlink attack. No such binary programs are distributed by the Apache-Perl package, though.



6. NO-CAN: Several buffer overflows have been found in the ApacheBench (ab) utility that could be exploited by a remote server returning very long strings. No such binary programs are distributed by the Apache-Perl package, though.



A problémák javítva vannak az 1.3.26-1-1.26-0woody2 verzióban, az aktuális stabil terjesztésben (woody), illetve az 1.3.9-14.1-1.21.20000309-1.1 verzióban a régi stabil terjesztésben (potato), és az 1.3.26-1.1-1.27-3-1 verzióban az instabil terjesztésben (sid).



Javasoljuk, hogy azonnal frissítsd az Apache-Perl csomagjaid.



Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: masqmail

Sebezhetőség: puffer túlcsordulás

Probléma típus: helyi

Debian-specifikus: nem

CVE Id: CAN-2002-1279



Több puffer túlcsordulási hibát talátak a masqmailben, ami egy MTA olyan gépek számára, amelyeknek nincs állandó internetkapcsolatuk. Továbbá a privilégiumokat eldobja miután egy felhasználó által megadott konfigurációs fájlt beolvasott. Ezzel együtt is ki lehet használni jogosulatlan root hozzáférés szerzésére olyan gépen, ahol a masqmail telepítve van.A probléma javítva van a 0.1.16-2.1 verzióban az aktuális stabil terjesztésben (woody) és a 0.2.15-1 verzióban az instabil terjesztésben (sid). A régi stabil terjesztés (potato) nem érintett a hibában lévén az nem tartalmazza a masqmail csomagot.



Javasoljuk a masqmail csomag azonnali frissítését.



Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: kdenetwork

Sebezhetőség: puffer túlcsordulás

Probléma-típus: helyi

Debian-specifikus: nem

CVE Id: CAN-2002-1247



Az iDEFENSE jelentett egy biztonsági sebezhetőséget a klisa csomagban, ami a LANról ad információkat hasonlóan a "Hálózati Helyekhez" (Network Neighbourhood), amit a Texonet fejlesztett ki. A hiba lehetővé teszi egy helyi támadó számára, hogy kihasználja a puffer túlcsordulási feltételt a resLISa-ban, ami egy korlátozott verziója a KLISa-nak. A sebezhetőség a LOGNAME könyezeti változó értelmezésében rejlik, egy túlzottan hosszú érték felülírja az Utasítás Mutatót (Instruction Pointer), így lehetővé téve a támadónak, hogy átvegye a vezérlést a futtatható kód felett.A probléma javítva van a 2.2.2-14.2 verzióban az aktuális stabil terjesztésben (woody) és a 2.2.2-14.3 verzióban az instabil terjesztésben (sid). A régi stabil terjesztés (potato) nem érintett a hibában lévén az nem tartalmaz kdenetwork csomagot.



Javasoljuk a klisa csomag azonnali frissítését.



Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag : squirrelmail

Sebezhetőség : oldalközi szkriptelhetőség

Probléma-típusa : távoli

Debian-specifikus: nem

BugTraq ID : 5949

CVE ID : CAN-2002-1131 CAN-2002-1132



A Squirrelmail (DSA 191-1) biztonsági frissítése szerencsétlen módon behozott egy bogarat az opciók oldalon. Ezt a problémát javítja a 1.2.6-1.2 verzió az aktuális stabil terjesztésben (woody). Az instabil terjesztést (sid) és a régebbi stabil terjesztést (potato) ezen probléma nem érinti. A teljesség kedvéért az eredeti Martin Schultze féle levél beidézi még egyszer a DSA 191-1-et is.

Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag: html2ps

Sebezhetőség: tetszőleges kód végrehajtás

Probléma-Típus: helyi

Debian-specifikus: nem

A SuSE Security Team sebezhetőséget talált a html2ps-ben, amely egy html - postscript konverter. A hibát kihasználva a támadó tetszőleges kódot tud futtani az áldozat gépén. Ez a hiba javítva van az 1.0b3-1.1 verzióban a jelenlegi stabil terjesztéshez (woody), az 1.0b1-8.1 verzióban a régebbi stabil terjesztéshez (potato) és az 1.0b3-2 verzióban az unstable terjesztéshez (sid).

Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Csomag : squirrelmail

Sebezhetőség : oldalközi szkriptelhetőség

Probléma-típusa : távoli

Debian-specifikus: nem

BugTraq ID : 5949

CVE ID : CAN-2002-1131 CAN-2002-1132

Számos oldalközi szkriptelhetőségi hibát (cross site scripting) fedeztek fel a squirrelmail csomagban, amely egy funkciókban gazdag, PHP4-ben írt webmail alkalmazás.Ezeket problémákat javították az 1.2.6-1.1-es verziójú csomagban a jelenlegi stabil terjesztéshez (woody) és az 1.2.8-1.1 verziójú csomagban az unstable terjesztéshez (sid). A régebbi stabil terjesztés nem érintett a dologban, mert nem tartalmazta a kérdéses csomagot.

Javasoljuk a csomag azonnali frissítését.

Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.