Säkerhetsbulletin från Debian

DSA-848-1 masqmail -- flera sårbarheter

Rapporterat den:

2005-10-08

Berörda paket:

masqmail

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2005-2662, CVE-2005-2663.

Ytterligare information:

Jens Steube upptäckte två sårbarheter i masqmail, en e-postserver för maskiner utan permanent Internetanslutning. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

CAN-2005-2662
När brevsändningen misslyckas städas inte adressen, vilket gör det möjligt för en lokal angripare att exekvera godtyckliga kommandon som mail-användaren.
CAN-2005-2663
Vid öppning av loggfiler släpper inte masqmail privilegier, vilket gör det möjligt för en lokal angripare att skriva över godtyckliga filer genom att angripa symboliska länkar.

För den gamla stabila utgåvan (Woody) har dessa problem rättats i version 0.1.16-2.2.

För den stabila utgåvan (Sarge) har dessa problem rättats i version 0.2.20-1sarge1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 0.2.20-1sarge1.

Vi rekommenderar att ni uppgraderar ert masqmail-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.1.16-2.2.dsc; http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.1.16-2.2.diff.gz; http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.1.16.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.1.16-2.2_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.1.16-2.2_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.1.16-2.2_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.1.16-2.2_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.1.16-2.2_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.1.16-2.2_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.1.16-2.2_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.1.16-2.2_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.1.16-2.2_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.1.16-2.2_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.1.16-2.2_sparc.deb

Debian GNU/Linux 3.1 (sarge)

Källkod:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.2.20-1sarge1.dsc; http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.2.20-1sarge1.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.2.20-1sarge1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.2.20-1sarge1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.2.20-1sarge1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.2.20-1sarge1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.2.20-1sarge1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.2.20-1sarge1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.2.20-1sarge1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.2.20-1sarge1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.2.20-1sarge1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.2.20-1sarge1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/m/masqmail/masqmail_0.2.20-1sarge1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.