blob: b6db475ccb600de3518fb2977cb0d73ceb8358ea (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
|
#use wml::debian::translation-check translation="2bd18a67682540fb7c79d49a858ca9bcfaa704ed" mindelta="1"
<define-tag description>buffertspill och formatsträngssårbarheter</define-tag>
<define-tag moreinfo>
<p>
Ett antal problem har upptäckts i Hylafax, en flexibel
klient-/server-faxprogramvara som medföljer många GNU/Linux-distributioner.
Beskrivningar av problemen från SecurityFocus:
</p>
<ul>
<li>
En formatsträngssårbarhet gör det möjligt för användare att potentiellt
exeekvera godtycklig kod i vissa implementationer.
På grund av otillräcklig kontroll av indata är det möjligt att utföra ett
formatsträngsangrepp.
Då detta endast påverkar system där programmen faxrm och faxalter
installeras med setuid är inte Debian sårbart.
</li>
<li>
Ett buffertspill har rapporterats i Hylafax.
En elakartad faxöverföring kan innehålla en lång läsrad som spiller en
minnesbuffert och skriver över intillliggande minne.
Genoma tt utnyttja detta kan man framkalla en överbelastningssituation,
eller möjligen exekvera godtycklig kod med rootbehörighet.
</li>
<li>
En formatsträngssårbarhet har upptäckts i faxgetty.
Inkommande faxmeddelanden innehåller en sträng som kallas
<span lang=en>Transmitting Subscriber Identification (TSI)</span>,
vilken används för att identifiera den sändande faxmaskinen.
Hylafax använder denna data som del av en formatsträng utan att ordentligt
rensa indata.
Illasinnade faxdata kan få servern att krascha, vilket kan utnyttjas för
en överbelastningsattack.
</li>
<li>
Marcin Dawcewicz upptäckte en formatsträngssårbarhet i hfaxd, vilken kan
krascha hfaxd under vissa omständigheter.
Eftersom Debian inte installerar hfaxd som setuid root kan problemet inte
i sig leda till en sårbarhet.
Detta rättades av Darren Nickerson och fanns redan i en nyare version, men
inte i versionen i Potato.
</li>
</ul>
<p>Dessa problem har rättats i version 4.0.2-14.3 för den gamla stabila
utgåvan (Potat), i version 4.1.1-1.1 för den aktuella stabila utgåvan
(Woody) i version 4.1.2-2.1 för den instabila utgåvan (Sid).</p>
<p>Vi rekommenderar att ni uppgraderar era hylafax-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-148.data"
|