Sigurnosni nedostatak unutar programskog paketa cyrus-sasl

Otkriven je sigurnosni nedostatak u programskom paketu cyrus-sasl2. Radi se o besplatnoj implementaciji SASL (eng. Simple Authentication and Security Layer) protokola za provjeru identiteta korisnika. Često se koristi za autentikaciju korisnika prilikom slanje e-maila (SMTP).

Spomenuti je nedostatak vezan uz pojavu prepisivanja spremnika koju udaljeni napadač može iskoristiti za narušavanje sigurnosti sustava. Posljedice uspješne zlouporabe ranjivosti uključuju pokretanje proizvoljnog programskog koda i izazivanje DoS (eng. Denial of Service) stanja na ranjivom računalu. Inače, CARNetov paket postfix-cn koristi cyrus-sasl2 za SMTP AUTH.

Propust ima oznake: CVE-2009-0688 i DSA-1807-1.

Propust je ispravljen u paketima sasl2-bin i libsasl2-modules verzije 2.1.22.dfsg1-23+lenny1 za Debian lenny, dok će verzija za Debian etch uskoro biti objavljena.

Nove pakete za Debian možete instalirati na uobičajeni način:

apt-get update
apt-get upgrade

Ako želite instalirati samo ove pakete:

apt-get update
apt-get install sasl2-bin libsasl2-modules

Više informacija na:
http://www.debian.org/security/2009/dsa-1807

CARNet, Grupa za izradu paketa
paketi@carnet.hr
http://paketi.carnet.hr/

sri, 2009-06-03 09:55 - Toni Pralas
Vijesti: 
Sigurnosni propusti
Vote: 
0
No votes yet