blob: a3d2f9c32759eff89f8c12d1ff8e8450c23ea8ab (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
|
#use wml::debian::translation-check translation="eb802383e972013e2be59e88e35cfa088968a164" mindelta="1"
<define-tag description>utökning av privilegier för e-postanvändare</define-tag>
<define-tag moreinfo>
<p>
Florian Heinz <email heinz@cronon-ag.de> skrev till sändlistan Bugtraq om
ett sätt att utnyttja qpopper baserat på ett fel i den implementation av
vsnprintf som medföljer.
Exemplet kräver ett giltigt användarkonto och lösenord och spiller en sträng
i pop_msg()-funktionen, vilket ger användaren gruppbehörighet i enlighet med
gruppen ”mail” och ett skal på systemet.
Eftersom Qvsnprintf används på andra ställen i qpopper kan det vara möjligt
att även utnyttja andra delar av koden.
</p>
<p>
Qpopper-paketet i Debian 2.2 (Potato) innehåller inte den sårbara
implementationen av snprintf.
För Debian 3.0 (Woody) är ett uppdaterat paket tillgängligt i version
4.0.4-2.woody.3.
De som kör en ännu inte släppt version av Debian bör uppgradera till 4.0.4-9
eller nyare.
Vi rekommenderar att ni uppgraderar era qpopper-paket omedelbart.
</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-259.data"
|
