Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-449-1 metamail -- Pufferüberlauf- und Format-String-Fehler

Datum des Berichts:

24. Feb 2004

Betroffene Pakete:

metamail

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 9692.
In Mitres CVE-Verzeichnis: CVE-2004-0104, CVE-2004-0105.
CERTs Verwundbarkeiten, Hinweise und Ereignis-Notizen: VU#518518, VU#513062.

Weitere Informationen:

Ulf Härnhammar entdeckte zwei Format-String-Fehler (CAN-2004-0104) und zwei Pufferüberlauf-Fehler (CAN-2004-0105) in metamail, einer Implementierung von MIME. Ein Angreifer kann eine speziell gestaltete E-Mail erstellen, die beliebigen Code mit den Rechten des Opfers ausführt, wenn sie geöffnet und durch metamail geparst wird.

Wir bemühen uns, metamail in der Zukunft nicht mehr in Debian behalten zu müssen. Es ist mittlerweile nicht mehr wartbar und die gefundenen Verwundbarkeiten sind wahrscheinlich nicht die letzten.

Für die stable Distribution (Woody) wurden diese Probleme in Version 2.7-45woody.2 behoben.

Für die unstable Distribution (Sid) werden diese Probleme in Version 2.7-45.2 behoben sein.

Wir empfehlen Ihnen, Ihr metamail-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:

http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2.dsc

http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2.diff.gz

http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français 日本語 (Nihongo) polski Русский (Russkij) svenska

Wie stellt man die Standardsprache ein