Säkerhetsbulletin från Debian

DSA-142-1 openafs -- heltalsspill

Rapporterat den:

2002-08-05

Berörda paket:

Sårbara:

Referenser i säkerhetsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5356.
I Mitres CVE-förteckning: CVE-2002-0391.
CERTs information om sårbarheter, bulletiner och incidenter: VU#192995.

Ytterligare information:

Ett heltalsspillsfel har upptäckts i RPC-biblioteket som används av databasservern OpenAFS, vilket bygger på SunRPC-biblioteket. Detta fel kan utnyttjas för att krascha vissa OpenAFS-servrar (volserver, vlserver, ptserver, buserver) eller får att uppnå oauktoriserad rootbehörighet på en värd som kör en av dessa processer. Det finns ännu inga kända sätt att utnyttja detta problem.

Detta problem har rättats i version 1.2.3final2-6 för den aktuella stabila utgåvan (Woody) och i version 1.2.6-1 för den instabila utgåvan (Sid). Debian 2.2 (Potato) berörs inte eftersom det inte innehåller några OpenAFS-paket.

OpenAFS är endast tillgängligt för arkitekturerna alpha, i386, powerpc, s390 och sparc. Därför tillhandahåller vi endast rättade paket för dess arkitekturer.

Vi rekommenderar att ni uppgraderar era openafs-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:: http://security.debian.org/pool/updates/main/o/openafs/openafs_1.2.3final2-6.dsc; http://security.debian.org/pool/updates/main/o/openafs/openafs_1.2.3final2-6.diff.gz; http://security.debian.org/pool/updates/main/o/openafs/openafs_1.2.3final2.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/o/openafs/openafs-modules-source_1.2.3final2-6_all.deb
Alpha:: http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.2.3final2-6_alpha.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.2.3final2-6_alpha.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.2.3final2-6_alpha.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.2.3final2-6_alpha.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.2.3final2-6_alpha.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.2.3final2-6_i386.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.2.3final2-6_i386.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.2.3final2-6_i386.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.2.3final2-6_i386.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.2.3final2-6_i386.deb
PowerPC:: http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.2.3final2-6_powerpc.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.2.3final2-6_powerpc.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.2.3final2-6_powerpc.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.2.3final2-6_powerpc.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.2.3final2-6_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.2.3final2-6_s390.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.2.3final2-6_s390.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.2.3final2-6_s390.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.2.3final2-6_s390.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.2.3final2-6_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.2.3final2-6_sparc.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.2.3final2-6_sparc.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.2.3final2-6_sparc.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.2.3final2-6_sparc.deb; http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.2.3final2-6_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.