Hallo Jens, hallo Liste, anbei die beiden neuesten DSAs und ein Fix kleinerer Fehler in den Originalen (von english/ aus).
Viele Grüße, Volker
<define-tag description>Umgehung der Autorisierung</define-tag> <define-tag moreinfo> <p>Eine Symlink-Verwundbarkeit wurde in MySQL, einem relationalen Datenbank-Server, entdeckt. Die Schw?che k?nnte es einem Angreifer erm?glichen, sowohl CREATE TABLE-Zugriff auf eine Datenbank zu erlangen, als auch Shell-Kommandos auf dem Datenbankserver auszuf?hren, um die Zugriffskontrollen von MySQL zu umgehen. Dadurch w?re es dem Angreifer m?glich, in Datens?tze zu schreiben, auf die er unter normalen Umst?nden keinen Zugriff h?tte.</p> <p>Das <q>Common Vulnerabilities and Exposures</q>-Projekt identifiziert die Verwundbarkeit als <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4098";>CVE-2008-4098</a>. Eine damit zusammenh?ngende Verwundbarkeit (<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4097";>CVE-2008-4097</a>) wurde bereits durch die in DSA-1608-1 angek?ndigte Aktualisierung behoben. Die vorliegende neue Aktualisierung ersetzt die vorherige und beseitigt beide Angriffsm?glichkeiten.</p> <p>F?r die Stable-Distribution (Etch) wurde dieses Problem in Version 5.0.32-7etch8 behoben.</p> <p>Wir empfehlen Ihnen, Ihre mysql-Pakete zu aktualisieren.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2008/dsa-1662.data" # $Id: dsa-1662.wml,v 1.1 2008-11-06 07:48:30 devin Exp $ #use wml::debian::translation-check translation="1.1"
<define-tag description>Mehrere Verwundbarkeiten</define-tag> <define-tag moreinfo> <p>Mehrere Verwundbarkeiten wurden in NET SNMP, einem Paket von Anwendungen f?r das <q>Simple Network Management Protocol</q>, entdeckt. Das <q>Common Vulnerabilities and Exposures</q>-Projekt identifiziert die folgenden Probleme:</p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0960";>CVE-2008-0960</a> <p>Wes Hardaker berichtete, dass die SNMPv3 HMAC-Verifikation sich darauf verl?sst, dass der Klient die HMAC-L?nge festlegt. Dies erm?glicht es, authentifizierte SNMPv3-Pakete zu spoofen.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2292";>CVE-2008-2292</a> <p>John Kortink berichtete von einem Puffer?berlauf in der Funktion __snprint_value in snmp_get. Der Puffer?berlauf f?hrt zu einer Diensteverweigerung (<q>denial of service</q>) und erm?glicht es m?glicherweise, beliebigen Code mittels einen gro?en OCTETSTRING in einem <q>attribute value pair</q> (AVP) auszuf?hren.</p></li> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4309";>CVE-2008-4309</a> <p>Es wurde berichtet, dass ein Integer-?berlauf in der Funktion netsnmp_create_subtree_cache in agent/snmp_agent.c es entfernten Angreifern erm?glicht, mittels einer manipulierten SNMP GETBULK-Anfrage einen Diensteverweigerungs-Angriffzu f?hren.</p></li> </ul> <p>F?r die Stable-Distribution (Etch) wurden diese Probleme in der Version 5.2.3-7etch4 behoben.</p> <p>F?r die Testing-Distribution (Lenny) und die Unstable-Distribution (Sid) wurden diese Probleme in Version 5.4.1~dfsg-11 behoben.</p> <p>Wir empfehlen Ihnen, Ihr net-snmp-Paket zu aktualisieren.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2008/dsa-1663.data" # $Id: dsa-1663.wml,v 1.1 2008-11-09 12:11:30 spaillar Exp $ #use wml::debian::translation-check translation="1.1"
Index: security/2008/dsa-1662.wml =================================================================== RCS file: /cvs/webwml/webwml/english/security/2008/dsa-1662.wml,v retrieving revision 1.1 diff -u -r1.1 dsa-1662.wml --- security/2008/dsa-1662.wml 6 Nov 2008 07:48:30 -0000 1.1 +++ security/2008/dsa-1662.wml 9 Nov 2008 15:59:45 -0000 @@ -4,13 +4,13 @@ relational database server. The weakness could permit an attacker having both CREATE TABLE access to a database and the ability to execute shell commands on the database server to bypass MySQL access -controls, enabling them to write to tables in databases to which they +controls, enabling him to write to tables in databases to which he would not ordinarily have access.</p> <p>The Common Vulnerabilities and Exposures project identifies this vulnerability as <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4098";>CVE-2008-4098</a>. Note that a closely aligned issue, identified as <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4097";>CVE-2008-4097</a>, was prevented by the update announced in -DSA-1608-1. This new update supercedes that fix and mitigates both +DSA-1608-1. This new update supersedes that fix and mitigates both potential attack vectors.</p> <p>For the stable distribution (etch), this problem has been fixed in
