Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Описание
gPS — это графическое приложение для просмотра информации
о системных процессах. В выпуске 1.1.0 пакета gps исправлены несколько
уязвимых мест в системе безопасности, что подробно описано в журнале
изменений:
исправлена ошибка в политике приёма источников
соединений rgpsp (она позволяла любому хосту
подсоединиться, даже если файл /etc/rgpsp.conf это
запрещал). Сейчас это работает правильно, но я
рекомендую использовать в любой реальной ("промышленной")
сети ip-фильтрацию для обеспечения политики (например,
ipchains или iptables).
Исправлены несколько возможностей переполнения буфера.
Спасибо Станиславу Иевлеву из ALT-Linux за то, что он
указал многие из них.
исправлено неправильное форматирование параметров
командной строки протокола rgpsp (командные строки,
содержащие символы новой строки, нарушат работу
протокола).
исправлено переполнение буфера, заставляющее rgpsp
генерировать сигнал SIGSEGV при обработке процессов с
длинными командными строками (более 128 символов)
[только под Linux].
Все эти проблемы затрагивают пакет gps Debian версии 0.9.4-1 в
Debian woody. Debian potato также содержит пакет gps (версии
0.4.1-2), но он не ими не затронут, поскольку соответствующие
функции в этой версии не реализованы.
В стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 0.9.4-1woody1.
Старый стабильный дистрибутив (potato) не затронут этими проблемами.
В нестабильном дистрибутиве (sid) эти проблемы исправлены
в версии 1.1.0-1.
Мы рекомендуем вам обновить пакет gps.
о системных процессах. В выпуске 1.1.0 пакета gps исправлены несколько
уязвимых мест в системе безопасности, что подробно описано в журнале
изменений:
исправлена ошибка в политике приёма источников
соединений rgpsp (она позволяла любому хосту
подсоединиться, даже если файл /etc/rgpsp.conf это
запрещал). Сейчас это работает правильно, но я
рекомендую использовать в любой реальной ("промышленной")
сети ip-фильтрацию для обеспечения политики (например,
ipchains или iptables).
Исправлены несколько возможностей переполнения буфера.
Спасибо Станиславу Иевлеву из ALT-Linux за то, что он
указал многие из них.
исправлено неправильное форматирование параметров
командной строки протокола rgpsp (командные строки,
содержащие символы новой строки, нарушат работу
протокола).
исправлено переполнение буфера, заставляющее rgpsp
генерировать сигнал SIGSEGV при обработке процессов с
длинными командными строками (более 128 символов)
[только под Linux].
Все эти проблемы затрагивают пакет gps Debian версии 0.9.4-1 в
Debian woody. Debian potato также содержит пакет gps (версии
0.4.1-2), но он не ими не затронут, поскольку соответствующие
функции в этой версии не реализованы.
В стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 0.9.4-1woody1.
Старый стабильный дистрибутив (potato) не затронут этими проблемами.
В нестабильном дистрибутиве (sid) эти проблемы исправлены
в версии 1.1.0-1.
Мы рекомендуем вам обновить пакет gps.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
s390x:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
m68k:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
i686:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
hppa:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
sparc:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
alpha:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
ia64:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
mips:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
mipsel:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
arm:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
Debian GNU/Linux 3.0:
ppc:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
s390x:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
m68k:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
i686:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
hppa:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
sparc:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
alpha:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
ia64:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
mips:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
mipsel:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
arm:
gps - 0.9.4-1woody1
rgpsp - 0.9.4-1woody1
Ссылки
http://www.debian.org/security/dsa-307/
Источник: CVE
Наименование: CVE-2003-0361
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0361
Источник: CVE
Наименование: CVE-2003-0360
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0360
Источник: CVE
Наименование: CVE-2003-0362
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0362
Источник: CVE
Наименование: CVE-2003-0361
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0361
Источник: CVE
Наименование: CVE-2003-0360
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0360
Источник: CVE
Наименование: CVE-2003-0362
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0362