Comment 1 Moritz Muehlenhoff 2012-01-16 17:05:02 CET

\item Unzureichende Fehlerbehandlung in addmntent-Helper (CVE-2011-1089)
\item Integeroverflow in der Verarbeitung von Zeitzonen-Dateien (CVE-2009-5029) (die CVE-ID wurde erst vor kurzem zugewiesen, da u.a. vsftpd Zeitzonendateien akzeptiert)

Comment 2 Moritz Muehlenhoff 2012-01-24 17:54:23 CET

CVE-2011-1095, CVE-2011-1071 und CVE-2011-1659 wurden durch Import des Squeeze Point Updates 6.0.4 behoben. Diese Lücken verbleiben noch:

\item Unzureichende Fehlerbehandlung in addmntent-Helper (CVE-2011-1089)
\item Integeroverflow in der Verarbeitung von Zeitzonen-Dateien (CVE-2009-5029)
(die CVE-ID wurde erst vor kurzem zugewiesen, da u.a. vsftpd Zeitzonendateien
akzeptiert)

Comment 3 Moritz Muehlenhoff 2012-02-20 08:15:18 CET

\item FORTIFY_SOURCE-Hardening kann umgangen werden (CVE-2012-0864)

Comment 4 Moritz Muehlenhoff 2012-05-04 14:30:52 CEST

\item Denial of Service in der RPC-Implementierung der glibc (CVE-2011-4609)

Comment 5 Moritz Muehlenhoff 2012-05-08 18:03:49 CEST

\item Unsichere Expansion von $ORIGIN (CVE-2011-1658)

Comment 6 Moritz Muehlenhoff 2012-06-18 11:21:49 CEST

CVE-2009-5029 wurde durch Import des Squeeze Point Updates 6.0.5 behoben. Diese Lücken verbleiben noch:

\item Unzureichende Fehlerbehandlung in addmntent-Helper (CVE-2011-1089)
\item FORTIFY_SOURCE-Hardening kann umgangen werden (CVE-2012-0864)
\item Denial of Service in der RPC-Implementierung der glibc (CVE-2011-4609)
\item Unsichere Expansion von $ORIGIN (CVE-2011-1658)

Comment 7 Moritz Muehlenhoff 2012-07-13 15:45:22 CEST

\item Unzureichende Speicherallozierung bei der Verwaltung von Formatstrings
(CVE-2012-3404)

\item Fehlerhafte Speicherverwaltung mit alloca() (CVE-2012-3405, CVE-2012-3406)

Diese Lücken können zu Denial of Service oder zum Umgehen von FORTIFY_SRC-Hardening-Schutzmassnahmen führen.

Comment 8 Moritz Muehlenhoff 2012-08-14 14:49:48 CEST

\item Integeroverflows in der Speicherallokation der strto-Funktionen (CVE-2012-3480)

Comment 9 Moritz Muehlenhoff 2012-10-02 15:12:36 CEST

\item Stackoverflow in strcoll() (CVE-2012-4424)

Comment 10 Moritz Muehlenhoff 2012-10-02 16:22:24 CEST

(In reply to comment #9)
> \item Stackoverflow in strcoll() (CVE-2012-4424)

Und
\item Integeroverflow in strcoll() (CVE-2012-4412)

Comment 11 Moritz Muehlenhoff 2012-11-09 15:53:17 CET

(In reply to comment #6)
> \item Denial of Service in der RPC-Implementierung der glibc (CVE-2011-4609)

Die Version aus UCS 3.0 ist nicht betroffen.

Comment 12 Moritz Muehlenhoff 2013-03-11 16:05:28 CET

Denial of service when processing regular expressions with multibyte characters (CVE-2013-0242)

Comment 13 Moritz Muehlenhoff 2013-05-10 16:40:56 CEST

stack overflow in getaddrinfo() (CVE-2013-1914)

Comment 14 Moritz Muehlenhoff 2013-07-01 08:27:46 CEST

The maintenance with bug and security fixes for UCS 3.0-x has ended on 30th June 2013. 

The maintenance of the UCS 3.x major series is continued by UCS 3.1-x that is
supplied with bug and security fixes.

Customers still on UCS 3.0-x are encouraged to update to UCS 3.1 that contains,
among other things, Linux Kernel 3.2, Univention App Center, an update of Samba
3 and Samba 4, support for Microsoft Windows 2012 and Windows 8. Please contact
your partner or Univention for any questions.