Debians sikkerhedsbulletin

DSA-634-1 hylafax -- svag validering af værtsnavn og brugernavn

Rapporteret den:

11. jan 2005

Berørte pakker:

hylafax

Sårbar:

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2004-1182.

Yderligere oplysninger:

Patrice Fournier har opdaget en sårbarhed i undersystemet til autorisation i hylafax, et fleksibelt klient-/server-faxsystem. En lokal eller fjern bruger som gættede indholdet af databasen hosts.hfaxd, kunne opnå uautoriseret adgang til faxsystemet.

Nogle installationer af hylafax anvender faktisk denne svage validering af værts- og brugernavn ved handlinger der krævede autorisation. Eksempler på typiske linjer i hosts.hfaxd er

  192.168.0
  brugernavn:uid:adgangskode:adminadgangskode
  user@host

Efter opdatering skal disse linjer ændres for fortsat at kunne fungere. De korrekte linjer skal være

  192.168.0.[0-9]+
  brugernavn@:uid:adgangskode:adminadgangskode
  bruger@vært

Med mindre en sådan sammensætning af "username" med "otherusername" og "host" med "hostname" er ønsket, skal den korrekte udformning af disse linjer indeholde adskillelsestegn og markører som disse

  @192.168.0.[0-9]+$
  ^brugernavn@:uid:adgangskode:adminadgangskode
  ^bruger@vært$

I den stabile distribution (woody) er dette problem rettet i version 4.1.1-3.1.

I den ustabile distribution (sid) er dette problem rettet i version 4.2.1-1.

Vi anbefaler at du opgraderer dine hylafax-pakker.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax_4.1.1-3.1.dsc; http://security.debian.org/pool/updates/main/h/hylafax/hylafax_4.1.1-3.1.diff.gz; http://security.debian.org/pool/updates/main/h/hylafax/hylafax_4.1.1.orig.tar.gz
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-doc_4.1.1-3.1_all.deb
Alpha:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_alpha.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_arm.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_i386.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_ia64.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_hppa.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_m68k.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_powerpc.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_s390.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_sparc.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.