• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-568-1 cyrus-sasl-mit -- не производится очистка входного текста

Главная Специалистам База уязвимостей DSA-568-1 cyrus-sasl-mit -- не производится очистка входного текста

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:L/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Описание
Обнаружена уязвимость в реализации Cyrus библиотеки SASL, Simple
Authentification and Security Layer, метода добавления поддержки
авторизации в протоколы, основанные на соединении. Библиотека слепо
использует переменную среды SASL_PATH, что позволяет локальному пользователю
скомпоновать программу с поддельной библиотекой и выполнить произвольный
код с привилегиями приложения с установленным флагом setuid или setgid.
Версия реализации Cyrus библиотеки SASL выпуска MIT связывает библиотеку
с MIT GSSAPI и MIT Kerberos4.
В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 1.5.24-15woody3.
В нестабильном дистрибутиве (sid) эта проблема будет исправлена
в ближайшее время.
Мы рекомендуем вам обновить пакеты libsasl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
s390x:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
m68k:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
i686:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
hppa:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
sparc:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
alpha:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
ia64:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
mips:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
mipsel:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
arm:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
Ссылки
http://www.debian.org/security/dsa-568/

Источник: CVE
Наименование: CVE-2004-0884
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0884