Login
Newsletter
Werbung

Fr, 24. November 2000, 09:38

Software::Security

Sicherheitslücken in mehreren Programmen

Eine lange Reihe von Updates erreichte uns in den letzten Tagen. Neue Probleme wurden in GhostScript, Joe, elvis-tiny, Koules und Ethereal entdeckt.

In GhostScript 5.1 werden /tmp und DLLs stellenweise auf unsichere Art verwendet. Das ist ein ernsthaftes Problem, da GhostScript beim Drucken fast immer im Hintergrund verwendet wird. Es ist nicht bekannt, ob auch die Versionen 5.5 und 6.0 betroffen sind. Die meisten Distributionen scheinen noch 5.1 zu verwenden. Updates gibt es von Caldera, Mandrake, Red Hat und Debian.

Im textbasierten Editor Joe werden symbolische Links ungeprüft verwendet. Dies könnte zu einem Überschreiben von Systemdateien führen, wenn man den Editor zum Absturz bringt, während Root ihn benutzt. Dies ist extrem unwahrscheinlich, dennoch gibt es Updates von Red Hat, Mandrake und Debian.

In Ethereal bis mindestens Version 0.8.0 ist ein Pufferüberlauf wie bei tcpdump möglich. Ein Update gibt es von Debian.

Das Problem in modprobe war mit Version 2.3.20 doch noch nicht komplett gelöst. Inzwischen ist 2.3.21 erschienen. Von drei Distributoren gibt es neue Updates: Debian (hier noch die alte Meldung), Mandrake und Red Hat.

Auch in elvis-tiny wird das /tmp-Verzeichnis nicht korrekt verwendet. Die normale Version von elvis ist davon nicht betroffen. Ein Update gibt es von Debian.

In dem Spiel Koules wurde ein Pufferüberlauf entdeckt. Genau genommen ist es das Programm koules.sndsrv.linux, das mit Root-Rechten laufen muß. Debian hat das Spiel nicht in der Distribution und ist daher nicht betroffen. Von den anderen Distributionen war noch nichts zu vernehmen.

Einen Pufferüberlauf in Pine hat jetzt auch Mandrake beseitigt. Red Hat stellte einen Update für den Fehler im X11 Forwarding von OpenSSH bereit. Die Probleme in tcpdump wurden nun auch von Debian behoben. Den Pufferüberlauf in ncurses haben nun auch Debian und Red Hat behoben.

Als Folge des ncurses-Problems ist auch der CD-Player xmcd unsicher. Ein Update existiert von Debian.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung