Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:L/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
libsasl7
(any)
libsasl-dev
(any)
libsasl-digestmd5-plain
(any)
libsasl-modules-plain
(any)
sasl-bin
(any)
Описание
Эта рекомендация является дополнением к DSA 563-1 и 563-2, которые не
позволяли обновить библиотеку на sparc и arm из-за отличных номеров
версий в стабильном дистрибутиве. Другие архитектуры были корректно
обновлены. Впрочем, это обновление также решает другую проблему,
связанную с sendmail.
В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 1.5.27-3.1woody5.
Вот текст рекомендации:
Обнаружена уязвимость в реализации Cyrus библиотеки SASL, Simple
Authentification and Security Layer, метода добавления поддержки
авторизации в протоколы, основанные на соединении. Библиотека слепо
использует переменную среды SASL_PATH, что позволяет локальному пользователю
скомпоновать программу с поддельной библиотекой и выполнить произвольный
код с привилегиями приложения с установленным флагом setuid или setgid.
В нестабильном дистрибутиве (sid) эта проблема исправлена
в пакете cyrus-sasl версии 1.5.28-6.2 и пакете cyrus-sasl2
версии 2.1.19-1.3.
Мы рекомендуем вам обновить пакеты libsasl.
позволяли обновить библиотеку на sparc и arm из-за отличных номеров
версий в стабильном дистрибутиве. Другие архитектуры были корректно
обновлены. Впрочем, это обновление также решает другую проблему,
связанную с sendmail.
В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 1.5.27-3.1woody5.
Вот текст рекомендации:
Обнаружена уязвимость в реализации Cyrus библиотеки SASL, Simple
Authentification and Security Layer, метода добавления поддержки
авторизации в протоколы, основанные на соединении. Библиотека слепо
использует переменную среды SASL_PATH, что позволяет локальному пользователю
скомпоновать программу с поддельной библиотекой и выполнить произвольный
код с привилегиями приложения с установленным флагом setuid или setgid.
В нестабильном дистрибутиве (sid) эта проблема исправлена
в пакете cyrus-sasl версии 1.5.28-6.2 и пакете cyrus-sasl2
версии 2.1.19-1.3.
Мы рекомендуем вам обновить пакеты libsasl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
s390x:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
m68k:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
i686:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
hppa:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
sparc:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
alpha:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
ia64:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
mips:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
mipsel:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
arm:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
Debian GNU/Linux 3.0:
ppc:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
s390x:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
m68k:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
i686:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
hppa:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
sparc:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
alpha:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
ia64:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
mips:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
mipsel:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
arm:
libsasl-dev - 1.5.27-3.1woody5
libsasl-digestmd5-plain - 1.5.27-3.1woody5
libsasl-modules-plain - 1.5.27-3.1woody5
libsasl7 - 1.5.27-3.1woody5
sasl-bin - 1.5.27-3.1woody5
Ссылки
http://www.debian.org/security/dsa-563/
Источник: CVE
Наименование: CVE-2004-0884
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0884
Источник: CVE
Наименование: CVE-2004-0884
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0884