Otkriven je sigurnosni nedostatak u programskom paketu
cyrus-sasl2. Radi se o besplatnoj implementaciji
SASL (eng.
Simple Authentication and Security Layer) protokola za provjeru identiteta korisnika. Često se koristi za autentikaciju korisnika prilikom slanje e-maila (
SMTP).
Spomenuti je nedostatak vezan uz pojavu prepisivanja spremnika koju udaljeni napadač može iskoristiti za narušavanje sigurnosti sustava. Posljedice uspješne zlouporabe ranjivosti uključuju pokretanje proizvoljnog programskog koda i izazivanje
DoS (eng.
Denial of Service) stanja na ranjivom računalu. Inače,
CARNetov paket
postfix-cn koristi
cyrus-sasl2 za SMTP
AUTH.
Propust ima oznake:
CVE-2009-0688 i DSA-1807-1.
Propust je ispravljen u paketima
sasl2-bin i
libsasl2-modules verzije
2.1.22.dfsg1-23+lenny1 za Debian lenny, dok će verzija za
Debian etch uskoro biti objavljena.
Nove pakete za Debian možete instalirati na uobičajeni način:
apt-get update
apt-get upgrade
Ako želite instalirati samo ove pakete:
apt-get update
apt-get install sasl2-bin libsasl2-modules
Više informacija na:
Debian Security DSA-1807
