[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Debian] Update zur Schwachstelle in samba - DSA-048-2
[[PGP Signed Part:Undecided]]
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Update zur Warnung des Debian Linux
Teams ueber Sicherheitsprobleme in Samba. Wir geben diese
Informationen unveraendert an Sie weiter.
Das Update beinhaltet Referenzen auf neu kompilierte Packages, da die
urspruenglich angekuendigten Packages nicht stabil liefen.
Zur Erinnerung noch einmal die Beschreibung der Schwachstellen:
1) Wenn ein Benutzer ueber das Netzwerk eine Samba-Drucker-
warteschlange abfragt, generiert "samba" eine temporaere Datei, in
die die Daten der Warteschlange geschrieben werden. Der verwendete
Name fuer diese Datei ist leicht vorhersagbar, so dass ein lokaler
Angreifer "samba" dazu bringen koennte, beliebige Dateien zu
ueberschreiben.
2) Auch die Befehle "more" und "mput" des SMB-Client-Programms
"smbclient" erzeugen temporaere Dateien mit vorhersagbarem Namen.
Betroffen ist "samba" in der Distribution Debian 2.2 (potato), der
Fehler ist in Version "samba 2.0.7-3.2" behoben. Der Hersteller stellt
Patches zur Behebung der Sicherheitsluecken zur Verfuegung.
Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT
--
Klaus Moeller | mailto:moeller@cert.dfn.de
DFN-CERT GmbH | http://www.cert.dfn.de/team/moeller/
Oberstrasse 14b | Phone: +49(40)808077-555
D-20144 Hamburg | FAX: +49(40)808077-556
Germany | PGP-Key: finger moeller@ftp.cert.dfn.de
------------------------------------------------------------------------
Debian Security Advisory DSA-048-2 security@debian.org
http://www.debian.org/security/ Wichert Akkerman
April 19, 2001
------------------------------------------------------------------------
Package : samba
Problem type : recompile of sparc packages
Debian-specific: yes
The updated samba packages that were mentioned in DSA-048-1 were
unfortunately compiled incorrectly: the stable chroot we used
turned out to be running unstable instead.
A new package with version 2.0.7-3.2.1 have been made that are
correctly compiled.
wget url
will fetch the file for you
dpkg -i file.deb
will install the referenced file.
Debian GNU/Linux 2.2 alias potato
---------------------------------
This advisory only updated the sparc package.
Sun Sparc architecture:
MD5 checksum: ba4374ec4e23c91bc4f4858635f4f678
http://security.debian.org/dists/stable/updates/main/binary-sparc/samba-common_2.0.7-3.2.1_sparc.deb
MD5 checksum: ea63eed637f0b37383b0ed269888a94c
http://security.debian.org/dists/stable/updates/main/binary-sparc/samba_2.0.7-3.2.1_sparc.deb
MD5 checksum: cc029b27096183405f8e71e42cc226d0
http://security.debian.org/dists/stable/updates/main/binary-sparc/smbclient_2.0.7-3.2.1_sparc.deb
MD5 checksum: b9cf3761a3602fa3f320421e3afd3614
http://security.debian.org/dists/stable/updates/main/binary-sparc/smbfs_2.0.7-3.2.1_sparc.deb
MD5 checksum: 4a66ffd60e56c63611d3063fd1447350
http://security.debian.org/dists/stable/updates/main/binary-sparc/swat_2.0.7-3.2.1_sparc.deb
MD5 checksum: 484b336ed56feadd8872b83140e5bf6f
These packages will be moved into the stable distribution on its next
revision.
For not yet released architectures please refer to the appropriate
directory ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ .
--
----------------------------------------------------------------------------
apt-get: deb http://security.debian.org/ stable/updates main
dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
[[End of PGP Signed Part]]