GLSA 200901-12: noip-updater: Execution of arbitrary code

http://security.gentoo.org/

Опасность:	высокая
Заголовок:	noip-updater: Execution of arbitrary code
Дата:	18.01.2009
Ошибки:	#248709
ID:	200901-12

Сводка

A buffer overflow in noip-updater can lead to arbitrary code execution.

Назначение

noip-updater is a tool used for updating IP addresses of dynamic DNS records at no-ip.com.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
net-dns/noip-updater	< 2.1.9	>= 2.1.9	All supported architectures

Описание

xenomuta found out that the GetNextLine() function in noip2.c misses a length check, leading to a stack-based buffer overflow.

Воздействие

A remote attacker could exploit this vulnerability to execute arbitrary code by sending a specially crafted HTTP message to the client. NOTE: Successful exploitation requires a man in the middle attack, a DNS spoofing attack or a compromise of no-ip.com servers.

Обход

There is no known workaround at this time.

Решение

All noip-updater users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=net-dns/noip-updater-2.1.9"

Ссылки

CVE-2008-5297

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200901-12.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.