Säkerhetsbulletin från Debian
DSA-713-1 junkbuster -- flera sårbarheter
- Rapporterat den:
- 2005-04-21
- Berörda paket:
- junkbuster
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2005-1108, CVE-2005-1109.
- Ytterligare information:
-
Flera fel har upptäckts i junkbuster, en filtrerande HTTP-mellanserver. Projektet Common Vulnerabilities and Exposures identifierar följande sårbarheter:
- CAN-2005-1108
James Ranson upptäckte att en angripare kan ändra referrer-inställningen med en specialskriven URL som av misstag skriver över en global variabel.
- CAN-2005-1109
Tavis Ormandy från Gentoos säkerhetsgrupp upptäckte flera heapsönderskrivningar på grund av inkonsekvent användning av en intern funktion som kan krascha servern eller möjligen leda till exekvering av godtycklig kod.
För den stabila utgåvan (Woody) har dessa problem rättats i version 2.0.2-0.2woody1.
Den instabila utgåvan (Sid) innehåller inte längre junkbusterpaketet.
Vi rekommenderar att ni uppgraderar ert junkbuster-paket.
- CAN-2005-1108
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1.dsc
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1.diff.gz
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/j/junkbuster/junkbuster_2.0.2-0.2woody1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.