In dem am 20.12.2005 zum Download bereitgestellten Security-Update befinden sich Patches für Sicherheitslücken verschiedener Pakete, die seit dem Release von UCS 1.2-5-2 gefunden wurden.
Eine vollständige Beschreibung der Änderungen und der Vorgehensweise zum direkten oder manuellen Download sowie zum Einspielen der Aktualisierungen haben wir auf unserer Website hinterlegt:
http://www.univention.de/updates/security
Die betroffenen Pakete in der Übersicht:
Updates:
[ul]
[li] univention-updater:
Bei Updates von CD auf Systemen ohne lokales Repository werden auf der CD liegende preup- und postup-Skripte nicht ausgeführt. Dieser Fehler wurde beseitigt. Das Einspielen dieses Updates vor der Aktualisierung auf UCS 1.3 wird empfohlen.[/li][/ul]
Sicherheitsaktualisierungen:
[ul]
[li]GTK 2.0:
Zwei Sicherheitsprobleme wurden im XPM-Code von GTK2 gefunden, durch einen Integer-Overflow kann potentiell Code ausgefuehrt werden und durch eine Endlosschleife betroffene Applikationen einer Denial-of-Service-Attacke ausgesetzt werden.
Dieses Update beseitigt diese Fehler.
CVE-Kennziffern: CVE-2005-2975 CVE-2005-3186
[/li]
[li]netpbm:
Zwei Bufferoverflows im pnmtopng-Konvertierungs-Programm aus netpbm wurden gefunden, durch die potentiell durch manipulierte Bild-Dateien eingebetteter Code ausgefuehrt werden konnte.
Dieses Update beseitigt diese Fehler.
CVE-Kennziffern: CVE-2005-3632 CVE-2005-3662
[/li]
[li]phpmyadmin
Eine HTTP-Response-Splitting-Sicherheitsluecke und mehrere Cross-Site-Scripting-Luecken wurden in phpmyadmin gefunden.
Dieses Update beseitigt diese Fehler.
CVE-Kennziffern: CVE-2005-3621 CVE-2005-3665[/li][/ul]