Debian-Sicherheitsankündigung

DSA-257-1 sendmail -- Entfernte Ausbeutung

Datum des Berichts:

04. Mär 2003

Betroffene Pakete:

sendmail, sendmail-wide

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2002-1337.
CERTs Verwundbarkeiten, Hinweise und Ereignis-Notizen: CA-2003-07, VU#398025.

Weitere Informationen:

Mark Dowd von ISS X-Force entdeckte einen Fehler in den Header-Analyse-Routinen von sendmail: Sie könnten einen Puffer überlaufen lassen, wenn Adressen mit sehr langen Kommentaren angetroffen werden. Da sendmail die Kopfzeilen ebenfalls analysiert, wenn E-Mails weitergeleitet werden, kann diese Verwundbarkeit ebenfalls Mail-Server treffen, die die E-Mail nicht zustellen.

Dies wurde im Upstream-Release 8.12.8 behoben, in Version 8.12.3-5 des Pakets für Debian GNU/Linux 3.0 (Woody) und in Version 8.9.3-25 des Pakets für Debian GNU/Linux 2.2 (Potato).

DSA-257-2: Reparierte sendmail-wide Pakete sind in Paket-Version 8.9.3+3.2W-24 für Debian 2.2 (Potato) und Version 8.12.3+3.5Wbeta-5.2 für Debian 3.0 (Woody) verfügbar.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:: http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.9.3-25.diff.gz; http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.9.3-25.dsc; http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.9.3.orig.tar.gz; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.9.3+3.2W-24.dsc; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.9.3+3.2W-24.tar.gz
alpha (DEC Alpha):: http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.9.3-25_alpha.deb; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.9.3+3.2W-24_alpha.deb
arm (ARM):: http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.9.3-25_arm.deb; --
i386 (Intel IA-32):: http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.9.3-25_i386.deb; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.9.3+3.2W-24_i386.deb
m68k (Motorola 680x0):: --; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.9.3+3.2W-24_m68k.deb
powerpc (PowerPC):: http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.9.3-25_powerpc.deb; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.9.3+3.2W-24_powerpc.deb
sparc (Sun SPARC/UltraSPARC):: http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.9.3-25_sparc.deb; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.9.3+3.2W-24_sparc.deb

Debian GNU/Linux 3.0 (woody)

Quellcode:: http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5.diff.gz; http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5.dsc; http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3.orig.tar.gz; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2.dsc; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta.orig.tar.gz; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2.diff.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/main/s/sendmail/sendmail-doc_8.12.3-5_all.deb
alpha (DEC Alpha):: http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5_alpha.deb; http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-5_alpha.deb; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_alpha.deb
arm (ARM):: --; --; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_arm.deb
hppa (HP PA RISC):: http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5_hppa.deb; http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-5_hppa.deb; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_hppa.deb
i386 (Intel IA-32):: http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5_i386.deb; http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-5_i386.deb; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_i386.deb
ia64 (Intel IA-64):: http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5_ia64.deb; http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-5_ia64.deb; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_ia64.deb
m68k (Motorola 680x0):: --; --; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_m68k.deb
mips (MIPS (Big Endian)):: http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5_mips.deb; http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-5_mips.deb; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_mips.deb
mipsel (MIPS (Little Endian)):: http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-5_mipsel.deb; http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5_mipsel.deb; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_mipsel.deb
powerpc (PowerPC):: http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5_powerpc.deb; http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-5_powerpc.deb; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_powerpc.deb
s390 (IBM S/390):: http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5_s390.deb; http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-5_s390.deb; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_s390.deb
sparc (Sun SPARC/UltraSPARC):: http://security.debian.org/pool/updates/main/s/sendmail/sendmail_8.12.3-5_sparc.deb; http://security.debian.org/pool/updates/main/s/sendmail/libmilter-dev_8.12.3-5_sparc.deb; http://security.debian.org/pool/updates/main/s/sendmail-wide/sendmail-wide_8.12.3+3.5Wbeta-5.2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung. (DSA-257-2)