Les versions du client ISC DHCP dans la Debian
GNU/Linux 2.1 (Slink) et dans la Debian GNU/Linux 2.2
(Potato) sont vulnérables à une exploitation de root. L'équipe
d'OpenBSD rapporte que le client exécute des commandes inappropriées en
réponse à des demandes du serveur DHCP. Cela signifie qu'un serveur DHCP
malveillant peut exécuter des commandes sur les clients DHCP en tant que
root. Une précédente annonce de sécurité Debian mettait en évidence
cette vulnérabilité dans les versions 2.0b1pl6-0.3
et 2.0-3potato1 ; cependant ISC a publié une nouvelle rustine
depuis l'avertissement précédent. Vous devriez installer la dernière
version du paquet même si vous avez mis à jour votre paquet lors de la
dernière alerte.
La vulnérabilité rapportée est réparée dans le paquet
dhcp-client-beta2.0b1pl6-0.4 pour la version stable courante (Debian
GNU/Linux 2.1) et dans le paquet dhcp-client2.0-3potato2
pour la préversion gelée (Debian GNU/Linux 2.2). Le serveur DHCP
et les agents relais sont construits à partir du même source du client ;
cependant, le serveur et les agents relais ne sont pas vulnérables à ce
problème et ne nécessitent pas par conséquent de mise à jour. Nous vous
recommandons la mise à jour immédiate de dhcp-client-beta et de
dhcp-client.
