Debian-Sicherheitsankündigung

DSA-434-1 gaim -- Mehrere Verwundbarkeiten

Datum des Berichts:

05. Feb 2004

Betroffene Pakete:

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 9489.
In Mitres CVE-Verzeichnis: CVE-2004-0005, CVE-2004-0006, CVE-2004-0007, CVE-2004-0008.

Weitere Informationen:

Stefan Esser entdeckte mehrere sicherheitsrelevante Probleme in Gaim, einem Multiprotokoll-Instant-Messaging-Client. Nicht alle davon betreffen die Version in Debian stable, aber zumindest die unstable-Distribution ist dafür anfällig. Die Probleme wurden für das »Common Vulnerabilities and Exposures«-Projekt wie folgt zusammengefasst:

CAN-2004-0005
Wenn der Yahoo-Messenger einen Oktalwert für E-Mail-Benachrichtigungsfunktionen dekodiert, können zwei verschiedene Arten von Überläufen ausgelöst werden. Wenn der MIME-Dekodierer eine Quoted Printable kodierte Zeichenfolge für E-Mail-Benachrichtigungen dekodiert, können zwei weitere Überläufe ausgelöst werden. Diese Probleme betreffen nur die Version in der unstable-Distribution.
CAN-2004-0006
Wenn die Cookies im HTTP-Antwortkopf einer Yahoo-Webverbindung ausgewertet werden, kann ein Pufferüberlauf passieren. Beim Auswerten der Yahoo-Login-Webseite lässt das YMSG-Protokoll Stack-Puffer überlaufen, falls die Webseite überdimensionierte Werte zurückliefert. Beim Aufteilen einer URL auf ihre Teile kann ein Stack-Überlauf passieren. Diese Probleme betreffen nur die Version in der unstable-Distribution.

Wenn ein überdimensionierter Schlüsselname in einem Yahoo-Messenger-Paket gelesen wird, kann ein Stack-Überlauf ausgelöst werden. Wenn Gaim einen HTTP-Proxy für Verbindungen zum Server verwendet, kann ein böswilliger HTTP-Proxy dies ausnutzen. Diese Probleme betreffen alle Versionen, die in Debian enthalten sind. Jedoch funktioniert die Verbindung zu Yahoo nicht mit der Version in Debian stable.
CAN-2004-0007
Interne Daten werden zwischen zwei Tokens in einen Stack-Puffer mit fester Größe ohne Bereichsprüfung kopiert. Dies betrifft nur die Version von Gaim in der unstable-Distribution.
CAN-2004-0008
Beim Anlegen von Speicher für AIM/Oscar-DirectIM-Pakete kann ein Integer-Überlauf passieren, was zu einem Heap-Überlauf führt. Dies betrifft nur die Version von Gaim in der unstable-Distribution.

Für die stable Distribution (Woody) wurden diese Probleme in Version 0.58-2.4 behoben.

Für die unstable Distribution (Sid) wurden diese Probleme in Version 0.75-2 behoben.

Wir empfehlen Ihnen, Ihre gaim-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4.dsc; http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4.diff.gz; http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_alpha.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_alpha.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_arm.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_arm.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_i386.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_i386.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_ia64.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_ia64.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_hppa.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_hppa.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_m68k.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_m68k.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_mips.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_mips.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_mipsel.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_mipsel.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_powerpc.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_powerpc.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_s390.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_s390.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_sparc.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_sparc.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français 日本語 (Nihongo) polski Русский (Russkij) svenska

Wie stellt man die Standardsprache ein

Um Probleme mit der Website zu melden, schreiben Sie bitte eine E-Mail auf Englisch an debian-www@lists.debian.org. Rechtschreibfehler in der deutschen Übersetzung senden Sie bitte an debian-l10n-german@lists.debian.org. Weitere Kontaktinformationen finden Sie auf Debians Kontaktseite.

Zuletzt geändert: Sonntag den 16. Nov 2008 um 09:13:15 Uhr UTC
Copyright © 2004-2008 SPI; Hier die Lizenzbestimmungen
Debian ist ein eingetragenes Warenzeichen der Software in the Public Interest, Inc.