Debian-Sicherheitsankündigung
DSA-033-1 analog -- Pufferüberlauf
- Datum des Berichts:
- 07. Mär 2001
- Betroffene Pakete:
- analog
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 2377.
In Mitres CVE-Verzeichnis: CVE-2001-0301. - Weitere Informationen:
- Der Autor von analog, Stephen Turner, hat einen
Pufferüberlauf in allen Versionen von analog gefunden, ausgenommen Version
4.16. Ein böswilliger Benutzer könnte einen ALIAS Befehl verwenden, um sehr
lange Zeichenketten zu konstruieren, die nicht auf ihre Länge und Grenzen
geprüft werden. Dieser Fehler ist teilweise gefährlich, wenn das
Formular-Interface (das allen unbekannten Benutzern erlaubt, das Programm über
ein CGI-Skript laufen zu lassen) installiert wurde. Es dürfte keinen bekannten
Exploit dafür geben.
Die Behebung des Problems wurde auf die Version von analog in Debian 2.2 zurückportiert. Version 4.01-1potato1 ist korrigiert.
Wir empfehlen Ihnen, Ihre analog-Pakete unverzüglich zu aktualisieren.
- Behoben in:
-
Debian 2.2 (potato)
- Quellcode:
-
http://security.debian.org/dists/stable/updates/main/source/analog_4.01.orig.tar.gz
-
http://security.debian.org/dists/stable/updates/main/source/analog_4.01-1potato1.dsc
-
http://security.debian.org/dists/stable/updates/main/source/analog_4.01-1potato1.diff.gz
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/analog_4.01-1potato1_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/analog_4.01-1potato1_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/analog_4.01-1potato1_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/analog_4.01-1potato1_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/analog_4.01-1potato1_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/analog_4.01-1potato1_sparc.deb