GLSA 200903-40: Analog: Denial of Service

Опасность:	средняя
Заголовок:	Analog: Denial of Service
Дата:	29.03.2009
Ошибки:	#249140
ID:	200903-40

Сводка

A Denial of Service vulnerability was discovered in Analog.

Назначение

Analog is a a webserver log analyzer.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
app-admin/analog	< 6.0-r2	>= 6.0-r2	All supported architectures

Описание

Diego E. Petteno reported that the Analog package in Gentoo is built with its own copy of bzip2, making it vulnerable to CVE-2008-1372 (GLSA 200804-02).

Воздействие

A local attacker could place specially crafted log files into a log directory being analyzed by analog, e.g. /var/log/apache, resulting in a crash when being processed by the application.

Обход

There is no known workaround at this time.

Решение

All Analog users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=app-admin/analog-6.0-r2"

NOTE: Analog is now linked against the system bzip2 library.

Ссылки

• CVE-2008-1372
• GLSA 200804-02

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200903-40.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.