Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-141-1 mpack -- Pufferüberlauf

Datum des Berichts:

01. Aug 2002

Betroffene Pakete:

mpack

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 5385.
In Mitres CVE-Verzeichnis: CVE-2002-1425.

Weitere Informationen:

Eckehard Berns hat einen Pufferüberlauf im munpack Programm entdeckt, das dazu verwendet wird, um Binär-Dateien in MIME (Multipurpose Internet Mail Extensions) formatierten Mailnachrichten zu dekodieren. Falls munpack auf eine entsprechend missgebildete E-Mail (oder News-Artikel) angewandt wird, stürzt es ab, und kann möglicherweise dazu gebracht werden, willkürlichen Code auszuführen.

Herbert Xu berichtete von einer zweiten Verwundbarkeit, die missgebildete Dateinamen beeinträchtigt, die auf Dateien in übergeordneten Verzeichnissen wie "../a" verweisen. Der Sicherheitseinfluss ist jedoch beschränkt, da nur ein einziges anfängliches "../" akzeptiert wurde und nur neue Dateien erstellt werden konnten (d.h. keine Datei konnte überschrieben werden).

Beide Probleme wurden in Version 1.5-5potato2 für die alte stable Distribution (Potato), in Version 1.5-7woody2 für die aktuelle stable Distribution (Woody) und in Version 1.5-9 für die unstable Distribution (Sid) behoben.

Wir empfehlen Ihnen, Ihr mpack Paket unverzüglich zu aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2.dsc

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2.diff.gz

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_i386.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_m68k.deb

PowerPC:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_powerpc.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-5potato2_sparc.deb

Debian GNU/Linux 3.0 (woody)

Quellcode:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2.dsc

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2.diff.gz

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_ia64.deb

HP Precision:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/m/mpack/mpack_1.5-7woody2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français 日本語 (Nihongo) Português svenska

Wie stellt man die Standardsprache ein