blob: 629a08501c4e61f67c8fb62c6d6d5e10c6459ad3 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
#use wml::debian::translation-check translation="eb802383e972013e2be59e88e35cfa088968a164"
<define-tag description>присвоение привилегий группы mail</define-tag>
<define-tag moreinfo>
<p>Флориан Хайнц (Florian Heinz) <email heinz@cronon-ag.de> прислал в
список рассылки Bugtraq информацию о способе использования qpopper,
основанном на ошибке в реализации vsnprintf. Пример атаки требует наличия
правильной учётной записи и пароля пользователя и добивается переполнения
строки при работе функции pop_mgs(), в результате чего пользователь
получает привилегии и системную оболочку группы mail. Поскольку функция
Qvsnprintf используется в qpopper и в других местах, возможны и другие
атаки.</p>
<p>Пакет qpopper в Debian 2.2 (potato) не содержит уязвимой реализации
snprintf. Обновлённый пакет для Debian 3.0 (woody) имеет версию
4.0.4-2.woody.3. Пользователям, работающим с ещё не выпущенной версией
Debian, следует обновить пакет до версии 4.0.4-9 или более поздней. Мы
рекомендуем вам немедленно обновить пакет qpopper.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-259.data"
|
