Login


 
Newsletter
Werbung

Mi, 18. Oktober 2000, 09:14

Software::Security

Sicherheitslücken in mehreren Programmen

Seit der letzten Meldung gab es eine Flut von neuen Sicherheits-Updates, die aber zum großen Teil Probleme beseitigen, die auf inkorrekte Verwendung von Formatstrings zurückzuführen sind.

Dieses Problem, das erst kürzlich entdeckt wurde, betrifft vor allem Programme, die ins Syslog schreiben und nicht vorsichtig genug programmiert wurden. Offenbar arbeiten gerade alle Distributoren und Autoren daran, diese Probleme zu beseitigen.

Das Programm traceroute weist wie berichtet mehrere Sicherheitslücken auf. SuSE verwendet allerdings eine andere Implementierung, die ein anderes Problem (Formatstring) hat. Updates gibt es jetzt auch von Debian, SuSE und TurboLinux.

Wie schon berichtet, hat Apache einen Fehler im mod_rewrite Modul. Updates gibt es jetzt auch von Caldera und Mandrake.

Das Programm gnorpm hat wie berichtet eine unsichere Verwendung von /tmp. Updates gibt es nun auch von Red Hat und SuSE.

cfengine: Auch hier Formatstring-Probleme. Updates gibt es von Mandrake und SuSE.

Das Programm usermode benutzt ein Programm userhelper, das eine Sicherheitslücke aufweist. Updates gibt es von Red Hat, während Mandrake und Distributionen, die nicht von Red Hat abstammen, nicht betroffen sind.

ncurses 4.2 hat ebenfalls ein Problem, allerdings handelt es sich um eine ältere Version der Library. Ein Update ist von Caldera verfügbar.

Formatstring-Bugs plagen auch PHP. Als bisher einziger Distributor hat Debian für PHP 3 und PHP 4 Updates. Mandrake und Caldera haben allerdings ein Update für das Apache-Modul mod_php3. In PHP 3.0.17 und 4.03 ist das Problem behoben. Auch in NIS ist ein ähnlicher Fehler, den Debian als bisher einziger beseitigt hat. Das gleiche gilt für curl.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung