Debian Weekly News - email
Von: Ben Collins <bcollins@DEBIAN.ORG> Datum: Mit., 10. Jan. 2001 14:22:22 -0500 An: BUGTRAQ@SECURITYFOCUS.COM Betreff: Aw: Lokaler Root-Exploit in Glibc Reply-To: Ben Collins <bcollins@DEBIAN.ORG> Am Mit., 10. Jan, 2001 um 12:06:48 -0700, schrieb Charles Stevenson: > Hallo zusammen, > Dieses ist auf vuln-dev und der debian-devel-Liste rumgesprungen. Es > betrifft glibc >= 2.1.9x und, so scheint es, viele, falls nicht alle > Betriebssysteme, die diese Version von Glibc verwenden. Ben Collins > schreibt: »Dies war nicht vorgesehen und die eigentliche Korrektur war ein > fehlendes Kommata in der Liste der sicheren Umgebungsvariablen, die beim > Start eines suid/sgid-Programms (darunter RESOLV_HOST_CONF) bereinigt > gemeint zu werden sollten.« Der Exploit variiert von System zu System, aber > in unserer Entwicklungsversion von Yellow Dog Linux war ich in der Lage, > die /etc/shadow-Datei als normaler Benutzer in der folgenden Art und Weise > anzuzeigen: > > export RESOLV_HOST_CONF=/etc/shadow > ssh wasauchimmer.host.com > > Andere Programme haben den gleichen Effekt, abhängig von den > Standardeinstellungen für das System. Ich habe dies auf Red Hat 7.0, > Yellow Dog Linux 2.0 (vor-Veröffentlichung) und Debian Woody ausprobiert. > Andere haben ähnliche Ergebnisse auf Slackware und sogar »selbstgebrauten« > GNU/Linux berichtet. Nur eine Bemerkung. Das jüngste *veröffentlichte* Debian (2.2, Potato) ist für dieses Problem nicht verwundbar, da es glibc 2.1.3 verwendet. Unsere unveröffentlichten Testing- und Devel- (Woody- und Sid-) Distributionen sind verwundbar, zumindest heute. Die korrigierten Pakete werden hochgeladen und sollten innerhalb von 24-48 Stunden auf den Spiegeln sein. Erwarten Sie kein Sicherheitsaktualisierungen dafür von Debian, da wir dies nur für veröffentlichte Distributionen erstellen, die Woody und Sid nicht sind. Um Anerkennung zu geben, wem Anerkennung gebührt: Jakub Jelinek hat den eigentlichen Patch, der dieses spezielle Problem behebt, produziert. Ich habe lediglich wiedergegeben, was ich wusste (im obigen Zitat). -- -----------=======-=-======-=========-----------=====------------=-=------ / Ben Collins -- ...on that fantastic voyage... -- Debian GNU/Linux \ ` bcollins@debian.org -- bcollins@openldap.org -- bcollins@linux.com ' `---=========------=======-------------=-=-----=-===-======-------=--=---'
Von: Bdale Garbee <bdale@gag.com> Datum: Mit., 17. Jan 2001 03:11:56 -0700 An: debian-devel@lists.debian.org, debian-ia64@lists.debian.org Betreff: Debian auf IA-64 Ich bin erfreut zu berichten, dass auf dem von HP an Agilent verliehene IA-64-System, das sich in meinem Besitz befindet, nun glücklich Debian GNU/Linux nativ läuft. Diese Maschine gelangte vor einigen Wochen »zur Bewertung« ohne ein installiertes Betriebssystem in meine Hände, und da das, was ich bewerten wollte, Debian war... Dies wäre ohne die Hilfe, die ich von Randolph Chung erhalten habe, viel schwieriger geworden. Er sprach mir Mut zu, wenn ich damit kämpfte, eine funktionierende Kombination von Hardware- und BIOS-Version zu bekommen, fertigte die chroot-Umgebung auf TurboLinux, die wir verwendeten, um die Urlade-Arbeit zu erledigen, und half dann, einige Pakete zu bauen, bei denen ich frustriert war. Ich möchte auch gerne noch anerkennen, dass Ben Collins und Brendan O'Dea im IRC immer zu rechten Zeit waren, um mir zu helfen, an Kämpfen beim Bau von Glibc- und respektive Perl-Paketen vorbeizukommen. Ihre Geduld und ihr Enthusiasmus hat geholfen! Der derzeitige Status ist, dass ich ein 100%iges Debian-Wurzeldateisystem boote und fast fertig damit bin, die richtigen Stücke an die Plätze zu bekommen, um »von vorne« mit dem Bau von Paketen, die zum Hochladen geeignet sind, anzufangen. Ich habe darum gebeten, dass ein binary-ia64-Baum erstellt wird, und gehe davon aus, dass dies bald geschieht. Das Hochladen von Paketen sollte innerhalb der nächsten Woche beginnen. Es scheint komplett möglich, dass IA-64 dem Satz an unterstützten Portierungen für Woody beitritt, aber es bleibt noch eine Menge Arbeit zwischen jetzt und dann! Bevor die Hürde vom Betrieb in der chroot-Umgebung zum Booten eines realen Debian-Dateisystems genommen wurde, hatten wir über 600 .debs gebaut, darunter alle relevanten Abhängigkeiten vom boot-floppies-Paket. Es gibt einige hässliche Hacks, die behandelt werden müssen, und ein paar wiederholbare interne Compiler-Fehler in der sehr frühen Vorabveröffentlichung des Compilers, den wir verwenden, aber ich gehe nicht davon aus, dass es lange dauern wird, um eine respektable Anzahl von Paketen gebaut und hochgeladen zu haben. Ich verstehe, dass es einigen Fortschritt in Richtung Erwerb eines IA-64-Systems für die allgemeine Benutzung von Debian-Entwicklern gab. Ich hoffe, es gibt dazu bald eine Ankündigung. In der Zwischenzeit bin ich *nicht* in der Lage, Logins für jeden auf dieser Maschine bereitzustellen. Bdale
Wenn Sie diesen Newsletter wöchentlich in Ihrer Mailbox haben wollen, abonnieren Sie die Mailingliste debian-news-german.
Hier gibt es ältere Ausgaben dieser Nachrichtenseite.
Diese Ausgabe der wöchentlichen Debian-Nachrichten wurde von Joey Hess erstellt.