Porada dotycząca bezpieczeństwa Debiana

DSA-449-1 metamail -- przepełnienie bufora, błędy typu format string

Data Zgłoszenia:

24.02.2004

Narażone Pakiety:

Podatny:

Tak

Odnośniki do baz danych na temat bezpieczeństwa:

Baza danych Bugtraq (SecurityFocus): Nr BugTraq 9692.
W słowniku CVE Mitre-a CVE-2004-0104, CVE-2004-0105.
Baza danych błędów, porad i incydentów CERT: VU#518518, VU#513062.

Więcej informacji:

Ulf Härnhammar odkrył dwa błędy typu format string (CAN-2004-0104) oraz dwa błędy typu przepełnienie bufora (CAN-2004-0105) w metamail, implementacji MIME. Atakujący może stworzyć specjalnie spreparowaną wiadomość pocztową z pomocą której może uruchomić własny kod jako ofiara gdy zostanie otwarta i przetworzona w metamail.

Podejmujemy próby uniknięcia dostarczania metamail w przyszłości. Program zaczyna pozostawać bez opieki i nie są to prawdopodobnie ostatnie naruszenia bezpieczeństwa.

W stabilnej dystrybucji (woody) powyższe problemy zostały wyeliminowane w wersji 2.7-45woody.2.

W dystrybucji nietsabilnej (sid) powyższe błędy będą usunięte w wersji 2.7-45.2.

Zalecamy aktualizację pakietu metamail.

Naprawiony w:

Debian GNU/Linux 3.0 (woody)

Źródło:: http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2.dsc; http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2.diff.gz; http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/m/metamail/metamail_2.7-45woody.2_sparc.deb

Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.