blob: 8e30395173a4fc74d17bee3930e585f22d2f6355 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
|
<define-tag description>bufferoverløb og format-strengssårbarheder</define-tag>
<define-tag moreinfo>
<p>Et antal problemer er opdateret i Hylafax, et fleksibelt
klient-/server-faxprogram som distribueres med mange GNU/Linux-distributioner.
Et citat fra SecurityFocus uddyber problemerne:</p>
<ul>
<li>En format-strengssårbarhed gør det muligt for brugere potentielt at udføre
vilkårlig kode på nogle systemer. På grund af utilstrækkelig kontrol af
inddata, er det muligt at udføre et format-strengsangreb. Da det kun
påvirker systemer hvor programmerne faxrm og faxalter er installeret setuid,
er Debian ikke sårbar.</li>
<li>Et bufferoverløb i Hylafax er rapporeret. En ondsindet faxoverførsel kan
indeholde en lang scan-linie som får hukommelsesbufferen til at løbe over,
og dermed ødelægge tilstødende hukommelse. En udnyttelse kan resultere i
et overbelastningsangreb ("denial of service"), eller muligvis i udførelse
af vilkårlig kode med root-rettigheder.</li>
<li>En format-strengssårbarhed er opdaget i faxgetty. Indkommende faxmeddelelser
indeholder en Transmitting Subscriber Identification (TSI)-streng, som
bruges til at identificere den afsendende faxmaskine. Hylafax anvender
disse data som del af en format-streng, uden på tilstrækkelig vis at rense
inddataene. Ondsindede faxdata kan forsage at serveren går ned,
resulterende i et overbelastningsangreb.</li>
<li>Marcin Dawcewicz har opdaget en format-strengssårbarhed i hfaxd, hvilket får
hfaxd til at gå ned under visse betingelser. Da Debian ikke installerer
hfaxd som setuid root, kan problemet ikke direkte føre til en sårbarhed.
Dette er rettet af Darren Nickerson, og er allerede til stede i nyere
versioner, men ikke den i potato.</li>
</ul>
<p>Disse problemer er rettet i version 4.0.2-14.3 i den gamle stabile
distribution (potato), i version 4.1.1-1.1 i den aktuelle stabile distribution
(woody) og i version 4.1.2-2.1 i den ustabile distribution (sid).</p>
<p>Vi anbefaler at du opgraderer dine hylafax-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-148.data"
#use wml::debian::translation-check translation="2bd18a67682540fb7c79d49a858ca9bcfaa704ed"
|