Debian安全性建议DSA-009-1

/ns/ld/unix/data/20010303061620.htm

数据包: stunnel
发布日期:2000-12-25
问题类型: 不安全的文件管理, 格式化字符串漏洞
只限于Debian: 非
Lez发现了stunnel(一个为其他网络daemon创建通用SSL通道的工具)中的一个格式化字符串问题.
Brian Hatch的回答是声明他已经准备了一个包含多个安全修复的新版本stunnel:

1. PRNG (pseudo-random generated)没有正确地传播. 这只影响不安全的可以随意编译的操作系统(如Linux)上的操作
2. 创建的进程标识符文件并不安全, 使得通道容易受到symlink攻击
3. 如果用户可以设法在记录的文本中插入文本,他可以开发利用一个不安全的syslog()调用.
Lez至少用一个方法演示了这个漏洞,利用假冒的identd响应.

这个问题在3.10-0potato1版本中已修复.

wget url 将为你取得文件
dpkg -i file.deb 将安装相关文件


Debian GNU/Linux 2.2 别名 potato

Potato 发布了对于alpha, arm, i386, m68k, powerpc及sparc系统的文档.
目前还没有对于arm的可用修复, 一旦发布了可用的修复,你可以在这个地址找到
http://security.debian.org/

源文档:
http://security.debian.org/dists/stable/updates/main/source/stunnel_3.10-0potato1.diff.gz
MD5 校验和: 60d5aa858f0a06c2d419da3cf082edfd
http://security.debian.org/dists/stable/updates/main/source/stunnel_3.10-0potato1.dsc
MD5 校验和: 0cc18707e34df76f50ca1f8d3c4faeaa
http://security.debian.org/dists/stable/updates/main/source/stunnel_3.10.orig.tar.gz
MD5 校验和: eca047987da225a6e4e7bd705a81f2aa

Alpha 文档:
http://security.debian.org/dists/stable/updates/main/binary-alpha/stunnel_3.10-0potato1_alpha.deb
MD5 校验和: 832ad31f899dbc655b1796b56cb98c80

Intel ia32 文档:
http://security.debian.org/dists/stable/updates/main/binary-i386/stunnel_3.10-0potato1_i386.deb
MD5 校验和: b64009319600749c58c60d39874db79d

Motorola 680x0 architecture:
http://security.debian.org/dists/stable/updates/main/binary-m68k/stunnel_3.10-0potato1_m68k.deb
MD5 校验和: 89c199d09858d14c9563522f4f6fba67

PowerPC 文档:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/stunnel_3.10-0potato1_powerpc.deb
MD5 校验和: cd145736ba23c54f98a41afe7bb5469f

Sun Sparc 文档:
http://security.debian.org/dists/stable/updates/main/binary-sparc/stunnel_3.10-0potato1_sparc.deb
MD5 校验和: 12d12072d96e1ddc6caa50cbc179619f

这些文件很快将转移到 ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/

对于还未发布的文档,请参阅这个地址的相关目录 ftp://ftp.debian.org/debian/dists/sid/binary-$arch/