Debians sikkerhedsbulletin

DSA-124-1 mtr -- bufferoverløb

Rapporteret den:

26. mar 2002

Berørte pakker:

mtr

Sårbar:

Referencer i sikkerhedsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 4217.
I Mitres CVE-ordbog: CVE-2002-0497.

Yderligere oplysninger:

Forfatterne af mtr har udgivet en ny opstrømsversion, med en kommentar i ændringsloggen om at der er rettet et bufferoverløb, som ikke kunne udnyttes. Przemyslaw Frasunek har dog fundet en nem måde at udnytte denne fejl på. Fejlen giver en angriber adgang til en "rå" socket-forbindelse, hvilket gør IP-forfalskning og andre ondsindede netværksaktiviteter mulige.

Problemet er rettet af Debians vedligeholder i version 0.41-6 i den stabile distribution ved at tilbageføre opstrøms rettelse, og i Debians test- og unstabile distributioner er fejlen rettet i version 0.48-1.

Vi anbefaler at du omgående opgraderer din mtr-pakke.

Rettet i:

Debian GNU/Linux 2.2 (potato)

Kildekode:: http://security.debian.org/dists/stable/updates/main/source/mtr_0.41.orig.tar.gz; http://security.debian.org/dists/stable/updates/main/source/mtr_0.41-6.dsc; http://security.debian.org/dists/stable/updates/main/source/mtr_0.41-6.diff.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/mtr_0.41-6_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/mtr_0.41-6_arm.deb
Intel ia32:: http://security.debian.org/dists/stable/updates/main/binary-i386/mtr_0.41-6_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/mtr_0.41-6_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/mtr_0.41-6_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/mtr_0.41-6_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.