4 x SA
Wpisany przez crash środa, 11 stycznia 2006 22:02
Nowy rok 2006 - nowe patch'e.
- TeX (SA-06:01.texindex)
- ee (SA-06:02.ee)
- cpio (SA-06:03.cpio)
- ipfw (SA-06:04.ipfw)
Krótki opis poniżej a szczegółowy opis w dziale Bezpieczeństwo.
W systemie do składu tekstu - TeX - wykryto błędy przy tworzeniu tymczasowych plików podczas składu tekstu. Co umożliwia podlinkowania innego pliku do niego.
W edytorze ee błąd leży po stronie funkcji odpowiedzialnej za sprawdzanie poprawności tresci - ispell - funkcja ta tworzy również pliki tymczasowe które są narażone na podlinkowanie.
W narzedziu cpio były 3 błedy, które umożliwiały zmianę praw dostępu do jakiegokolwiek pliku w systemie, nadpisanie dowolnego pliku oraz ostatni umożliwiał DoS jak również wykonanie kodu.
I ostatni patch na popularnego firewalla - ipfw - poprzez błędną implementacje odczytu fragmentów pakietów IP z wykorzystaniem w regółkach akcji reset, reject oraz unreach umożliwiał blokade usługi (DoS).