MandrakeSoft安全性建议 MDKSA-2000:064

/ns/ld/unix/data/20010108025338.htm

MandrakeSoft安全性建议
数据包名称:ypbind and ypserv
发布日期:October 23rd, 2000
建议号ID:MDKSA-2000:064
受影响的版本:6.0, 6.1, 7.0, 7.1

问题描述:

如果ypbind 3.3以debug模式运行,ypbind 3.3中存在一个分析字符串格式的漏洞,它将在某种情况下泄露文件的描述符而导致一个DoS攻击。
另外,ypbind还可能遭受缓冲区溢出。如果构件系统中没有vsyslog()或配置没有发现它,在ypserv程序中存在一个缓冲区溢出和格式漏洞。
这两个漏洞都是由Olaf Kirch发现的。

更新数据包:

请升级到下列数据包:

Linux-Mandrake 6.0:

c94e16fe0699ef929c231e9dc02f8416 6.0/RPMS/ypbind-3.3-25mdk.i586.rpm
09c51e63bd71a9ef94d6f6abffad2698 6.0/RPMS/ypserv-1.3.9-4mdk.i586.rpm
9d4a59b36fb30f28ab78745fd30e5696 6.0/SRPMS/ypbind-3.3-25mdk.src.rpm
e8d779c42a6d36bd431e6b1fe7ded7d3 6.0/SRPMS/ypserv-1.3.9-4mdk.src.rpm

Linux-Mandrake 6.1:

e4432a5714fb995ea6c272206eff8f40 6.1/RPMS/ypbind-3.3-25mdk.i586.rpm
e7cbe8440877516c8b5dec04ca6429da 6.1/RPMS/ypserv-1.3.9-4mdk.i586.rpm
9d4a59b36fb30f28ab78745fd30e5696 6.1/SRPMS/ypbind-3.3-25mdk.src.rpm
e8d779c42a6d36bd431e6b1fe7ded7d3 6.1/SRPMS/ypserv-1.3.9-4mdk.src.rpm

Linux-Mandrake 7.0:

52dcef1933b60d109d752965e9ea0789 7.0/RPMS/ypbind-3.3-25mdk.i586.rpm
bea6a3029a09a7e8e291d742c5d4c08f 7.0/RPMS/ypserv-1.3.9-4mdk.i586.rpm
9d4a59b36fb30f28ab78745fd30e5696 7.0/SRPMS/ypbind-3.3-25mdk.src.rpm
e8d779c42a6d36bd431e6b1fe7ded7d3 7.0/SRPMS/ypserv-1.3.9-4mdk.src.rpm

Linux-Mandrake 7.1:

4ca3ef370ecb639c7d8d62900e2f9482 7.1/RPMS/ypbind-3.3-25mdk.i586.rpm
dd943d35562464810c88bceb02d3ee76 7.1/RPMS/ypserv-1.3.9-4mdk.i586.rpm
9d4a59b36fb30f28ab78745fd30e5696 7.1/SRPMS/ypbind-3.3-25mdk.src.rpm
e8d779c42a6d36bd431e6b1fe7ded7d3 7.1/SRPMS/ypserv-1.3.9-4mdk.src.rpm


如果要自动升级,使用MANDRAKEUPDATE。

如果你想手动升级,从你FTP服务器镜像之一中下载升级包,并运行"rpm -Uvh package_name".

你可以从下面地址直接下载更新包:
ftp://ftp.linux.tucows.com/pub/distributions/Mandrake/Mandrake/updates
ftp://ftp.free.fr/pub/Distributions_Linux/Mandrake/updates

或者尝试列出在http://www.linux-mandrake.com/en/ftp.php3中的其他镜像

确认:

请在升级前检验升级包的这些MD5校验和,以确保下载的升级包的完整性。 你可以通过下载的升级包中的命令 “MD5SUN PACKAGE。RPM”
来运行MD5SUM程序。

为了安全,这些数据包由Linux Mandrake Security Team签署。
用我们的GnuPG key和RPM验证其MD5校验和。


你可以用"rpm --checksig package_name"命令验证每个数据包。
你也可以用"rpm --checksig --nogpg package_name"命令验证每个数据包的MD5校验和。
请注意,为了验证GnuPG密匙,你必须安装了GnuPG,我们的公共密匙增加到你的公共密匙环中,以及3.0或更高版本的RPM。