Aviso de seguridad de Debian

DSA-034-1 ePerl -- Explotación remota de root

Fecha del informe:

7 de mar de 2001

Paquetes afectados:

eperl

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 2464.
En el diccionario CVE de Mitre: CVE-2001-0458.

Información adicional:

Fumitoshi Ukai y Denis Barbier han encontrado varios posibles fallos posibles de desbordamiento de búfer en nuestra versión de ePerl distribuida con todas nuestras distribuciones.

Cuando eperl se instala con setuid de root, podrá cambiar para el UID/GID del dueño del script. A pesar de que Debian no distribuye el programa con setuid de root, esta es una funcionalidad útil que las personas pueden haber activado localmente. Cuando el programa se usa como /usr/lib/cgi-bin/nph-eperl los fallos pueden conducir también a vulnerabilidad remota.

La versión 2.2.14-0.7potato2 resuelve este problema; le recomendamos que actualice su paquete eperl inmediatamente.

Arreglado en:

Debian 2.2 (potato)

Fuentes:: http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14-0.7potato2.diff.gz; http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14-0.7potato2.dsc; http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/eperl_2.2.14-0.7potato2_alpha.deb
arm:: http://security.debian.org/dists/stable/updates/main/binary-arm/eperl_2.2.14-0.7potato2_arm.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/eperl_2.2.14-0.7potato2_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/eperl_2.2.14-0.7potato2_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/eperl_2.2.14-0.7potato2_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/eperl_2.2.14-0.7potato2_sparc.deb