Debian-Sicherheitsankündigung
DSA-009-1 stunnel -- Unsichere Datei-Behandlung, Format-String Fehler
- Datum des Berichts:
- 25. Dez 2000
- Betroffene Pakete:
- stunnel
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2001-0060.
- Weitere Informationen:
- Lez entdeckte ein Format-String Problem in stunnel (ein
Werkzeug, um universelle SSL-Tunnel für andere Netzwerk-Daemonen zu
erstellen). Brian Hatch antwortete mit der Aussage, dass er bereits eine neue
Veröffentlichung mit mehreren Sicherheitsbehebungen vorbereitete:
- Die PRNG (pseudo-random generated -- pseudo-zufällig generiert) wurde nicht korrekt initialisiert. Dies betrifft nur Operationen auf Betriebssystemen ohne einen sicheren Zufallszahlen-Generator (wie Linux).
- Pid-Dateien wurden nicht sicher erstellt, was stunnel für einen Symlink-Angriff verwundbar macht.
- Es gab einen unsicheren syslog() Aufruf, der ausgenutzt werden könnte, wenn der Benutzer Text in den geloggten Text einfügen kann. Zumindest wurde eine Art dies auszunutzen von Lez demonstriert, die gefälschte identd-Antworten benutzte.
Diese Probleme wurden in Version 3.10-0potato1 behoben.
- Behoben in:
-
Debian 2.2 (potato)
- Quellcode:
-
http://security.debian.org/dists/stable/updates/main/source/stunnel_3.10-0potato1.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/stunnel_3.10-0potato1.dsc
-
http://security.debian.org/dists/stable/updates/main/source/stunnel_3.10.orig.tar.gz
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/stunnel_3.10-0potato1_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/stunnel_3.10-0potato1_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/stunnel_3.10-0potato1_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/stunnel_3.10-0potato1_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/stunnel_3.10-0potato1_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/stunnel_3.10-0potato1_sparc.deb