Debian-Sicherheitsankündigung

DSA-034-1 ePerl -- Entferntes root-Exploit

Datum des Berichts:

07. Mär 2001

Betroffene Pakete:

eperl

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 2464.
In Mitres CVE-Verzeichnis: CVE-2001-0458.

Weitere Informationen:

Fumitoshi Ukai und Denis Barbier haben mehrere potenzielle Pufferüberlauf-Fehler in unserer Version von ePerl gefunden, wie sie in allen unseren Distributionen verteilt wird.

Wenn eperl setuid root installiert ist, kann es auf die UID/GID des Skript-Besitzers umschalten. Da Debian jedoch das Programm nicht setuid root vertreibt, ist dies ein nützliches Feature, das die Leute lokal aktiviert haben. Wenn das Programm als /usr/lib/cgi-bin/nph-eperl verwendet wird, könnte der Fehler ebenfalls zu einer Verwundbarkeit führen.

Version 2.2.14-0.7potato2 behebt dies; wir empfehlen Ihnen, Ihr eperl-Paket unverzüglich zu aktualisieren.

Behoben in:

Debian 2.2 (potato)

Quellcode:: http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14-0.7potato2.diff.gz; http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14-0.7potato2.dsc; http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/eperl_2.2.14-0.7potato2_alpha.deb
arm:: http://security.debian.org/dists/stable/updates/main/binary-arm/eperl_2.2.14-0.7potato2_arm.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/eperl_2.2.14-0.7potato2_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/eperl_2.2.14-0.7potato2_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/eperl_2.2.14-0.7potato2_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/eperl_2.2.14-0.7potato2_sparc.deb