blob: 9076892143fb14eedf909aae2322b9721778e9c2 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
|
<define-tag moreinfo>Lez entdeckte ein Format-String Problem in stunnel (ein
Werkzeug, um universelle SSL-Tunnel für andere Netzwerk-Daemonen zu
erstellen). Brian Hatch antwortete mit der Aussage, dass er bereits eine neue
Veröffentlichung mit mehreren Sicherheitsbehebungen vorbereitete:
<ol>
<li>Die PRNG (pseudo-random generated -- pseudo-zufällig generiert) wurde
nicht korrekt initialisiert. Dies betrifft nur Operationen auf Betriebssystemen
ohne einen sicheren Zufallszahlen-Generator (wie Linux).
<li>Pid-Dateien wurden nicht sicher erstellt, was stunnel für einen
Symlink-Angriff verwundbar macht.
<li>Es gab einen unsicheren syslog() Aufruf, der ausgenutzt werden könnte,
wenn der Benutzer Text in den geloggten Text einfügen kann. Zumindest wurde
eine Art dies auszunutzen von Lez demonstriert, die gefälschte
identd-Antworten benutzte.
</ol>
<p>Diese Probleme wurden in Version 3.10-0potato1 behoben.</define-tag>
<define-tag description>Unsichere Datei-Behandlung, Format-String Fehler</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20001225a.data'
#use wml::debian::translation-check translation="9935cd8456950748eabb78a1723066b91eff94c3"
|
