Csomag: wwwoffle
Sebezhetőség: nem megfelelő input kezelés
Probléma-típus: helyi
Debian-specifikus: nem
CVE Id: CAN-2002-0818
Egy problémát fedeztek fel a wwwoffle-val kapcsolatban. A web proxy nem kezeli megfelelően az input data-t, ahol a Content-Length beállítás egy negatív szám, és a feldolgozást végző gyerekprocesszt összeomlasztja. Jelenleg nem világos, hogyan lehetne ezt a sebezhetőséget kihasználmi, habár jobb biztonságban lenni, mint sajnálkozni, szóval itt a frissítés.Továbbá a woody verzióban az üres jelszavakat hiábsnak veszi, az autentikálás során. A woody verzióban szintén kicseréltük a CanonicaliesHost()-ot az utolsó rutinnal a 2.7d verzióból, ahogyan az upstream javasolta. Ez megállítja a hibás IPv6 formátumú IP címeket az URL-ekben, ami problémákat okozhat (pl.: memória felülírás, lehetséges exploit).
A problémát javítja a 2.5c-10.4 verzió a régi stabil disztribúcióban (potato), és a 2.7a-1.2 verzió a jelenlegi stabil disztribúcióban (woody) és a 2.7d-1 verzió az unstable disztribúcióban (sid).
Javasoljuk, frissítsd a wwwoffle csomagjaid.
Martin Schultze levele a debian-security-announce listán.
A frissítésről szóló FAQ-nk.
megj.: Ne ijedj meg, ha a Martin Schultze-s link még nem él... Megint hipergyors voltam :-)