Univention Corporate Server 1.3-0 Sicherheits-Update 1

german
announcement

#1

In dem am 06.02.2006 zum Download bereitgestellten Security-Update befinden sich Patches für Sicherheitslücken verschiedener Pakete, die seit dem Release von UCS 1.3-0 gefunden wurden.

Eine vollständige Beschreibung der Änderungen und der Vorgehensweise zum direkten oder manuellen Download sowie zum Einspielen der Aktualisierungen haben wir auf unserer Webseite hinterlegt:

http://www.univention.de/updates/security

Die betroffenen Pakete in der Übersicht:

Updates:
[ul]
[li]OpenOffice.Org Konfiguration:
Ein Fehler in den OpenOffice.org Debian Files wurde behoben, der nach dem
Update auf 1.3-0 unter bestimmten Umständen den Start von OpenOffice.org
über KDE-Verknüpfungen verhinderte.
[/li]
[li]Quota-Support im Mailserver:
Ein Fehler, der bei aktivierten Mailquotas und der Verwendung von Cyrus 2.2
den Login via IMAP verhindern konnte, wurde behoben.[/li][/ul]

Sicherheitsaktualisierungen:
[ul]
[li]ClamAV:
Im ClamAV-Virenscanner wurde im Modul fuer die Verarbeitung von UPX-Archiven ein Heap-Overflow
gefunden, durch den ueber manipulierte Archive potentiell Code ausgefuehrt werden kann.
Dieses Update beseitigt diesen Fehler.

CVE-Kennziffer: CVE-2006-0162
[/li]
[li]Ethereal:
Ein Bufferoverflow im OSPF-Dissektor von Ethereal kann potentiell ausgenutzt werden, um durch
manipulierten Traffic eingeschleusten Code auszufuehren.
Dieses Update beseitigt diesen Fehler.

CVE-Kennziffer: CVE-2005-3651
[/li]
[li]Hylafax:
Das notify-Script bereinigt Eingaben nicht ausreichend, wodurch potentiell durch eingelieferte
Fax-Auftraege Code aufgefuehrt werden kann.
Dieses Update beseitigt diesen Fehler.

CVE-Kennziffer: CVE-2005-3539
[/li]
[li]kdelibs:
Im kjs-Javascript-Interpreter wurde ein Integer-Overflow in der Verarbeitung von UTF8-kodierten
URIs gefunden, durch den potentiell Code ausgefuehrt werden kann.
Dieses Update beseitigt diesen Fehler.

CVE-Kennziffer: CVE-2006-0019
[/li]
[li]kpdf:
Zahlreiche weitere Sicherheitsluecken wurden im PDF-Betrachter xpdf gefunden. Diese Sicherheits-
luecken sind auch in kpdf, dem KDE-PDF-Modul enthalten, da dieses eine eingebettete Kopie der
xpdf-Sourcen verwendet.
Dieses Update beseitigt alle diese Fehler.

CVE-Kennziffern: CVE-2005-3191 CVE-2005-3192 CVE-2005-3193 CVE-2005-3624 CVE-2005-3625
CVE-2005-3626 CVE-2005-3627 CVE-2005-3628
[/li]
[li]sudo:
Ueber mehrere Umgebungsvariablen kann bei der Ausfuehrung von Scripten in sudo potentiell
eine manipulierte Version einer System-Library nachgeladen werden und so beliebiger Code
mit erhoehten Privilegien ausgefuehrt werden.
Dieses Update entfernt diese Umgebungsvariablen vor dem Ausfuehren des Programms.

CVE-Kennziffern: CVE-2005-4158 CVE-2006-0151
[/li]
[li]tetex-bin:
Zahlreiche weitere Sicherheitsluecken wurden im PDF-Betrachter xpdf gefunden. Diese Sicherheits-
luecken sind auch in tetex-bin im Code zur Bearbeitung von PDF-Dokumenten enthalten, da dieses
eine eingebettete Kopie der xpdf-Sourcen verwendet.
Dieses Update beseitigt alle diese Fehler.

CVE-Kennziffern: CVE-2005-3191 CVE-2005-3192 CVE-2005-3193 CVE-2005-3624 CVE-2005-3625
CVE-2005-3626 CVE-2005-3627 CVE-2005-3628
[/li]
[li]Wine:
Wine hat eine Design-Schwaeche der Windows-APIs fuer GDI-Treiber uebernommen,
durch manipulierte Windows-Metafiles konnte potentiell Code ueber Escape-Sequenzen
ausgefuehrt werden.
Dieses Update beseitigt diesen Fehler.

CVE-Kennziffer: CVE-2006-0106
[/li]
[li]Xine-Bibliothek:
In der Xine-Multimediabibliothek wurde ein Heapoverflow in der Verarbeitung von
PNG-Bildern gefunden, der potentiell das Einschleusen von Code durch manipulierte
Bilder ermoeglicht.
Dieses Update beseitigt diesen Fehler.

CVE-Kennziffer: CVE-2005-4048
[/li]
[li]xpdf:
Zahlreiche weitere Sicherheitsluecken wurden im PDF-Betrachter xpdf gefunden.
Dieses Update beseitigt alle diese Fehler.

CVE-Kennziffern: CVE-2005-3191 CVE-2005-3192 CVE-2005-3193 CVE-2005-3624 CVE-2005-3625
CVE-2005-3626 CVE-2005-3627 CVE-2005-3628[/li][/ul]


#2