Bulletin d'alerte Debian

nis -- Exploitation locale

Date du rapport:

14 octobre 2000

Paquets concernés:

nis

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2000-1040.

Pour plus d'information:

La version de nis distribuée dans les Debian GNU/Linux 2.1 et 2.2 contient le paquet ypbind qui possède un problème de sécurité.

ypbind est utilisé pour interroger un serveur nis qui est utilisé par la machine locale. Le code d'authentification dans ypbind était vulnérable à une attaque de formatage de printf qui permettait l'envoi de requêtes formées par l'intermédiaire de ypbind. De cette manière, ypbind peut être utilisé pour exécuter du code arbitraire en tant que superutilisateur.

Le problème a été résolu dans la version 3.5-2.1 de la Debian GNU/Linux 2.1 et dans la version 3.8-0.1 de la Debian GNU/Linux 2.2.

Note : pour le moment, les mises à jour de sécurité de Slink pour alpha et sparc ne sont plus supportées. Le support pour les plates-formes i386 et m68k continuera jusqu'à la fin du mois.

Corrigé dans:

Debian GNU/Linux 2.1 (slink)

Source :: http://security.debian.org/dists/slink/updates/source/nis_3.5-2.1.diff.gz; http://security.debian.org/dists/slink/updates/source/nis_3.5-2.1.dsc; http://security.debian.org/dists/slink/updates/source/nis_3.5.orig.tar.gz
Intel IA32:: http://security.debian.org/dists/slink/updates/binary-i386/nis_3.5-2.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/slink/updates/binary-m68k/nis_3.5-2.1_m68k.deb

Debian GNU/Linux 2.2 (potato)

Source :: http://security.debian.org/dists/potato/updates/main/source/nis_3.8-0.1.diff.gz; http://security.debian.org/dists/potato/updates/main/source/nis_3.8-0.1.dsc; http://security.debian.org/dists/potato/updates/main/source/nis_3.8.orig.tar.gz
Alpha:: http://security.debian.org/dists/potato/updates/main/binary-alpha/nis_3.8-0.1_alpha.deb
ARM:: http://security.debian.org/dists/potato/updates/main/binary-arm/nis_3.8-0.1_arm.deb
Intel IA32:: http://security.debian.org/dists/potato/updates/main/binary-i386/nis_3.8-0.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/potato/updates/main/binary-m68k/nis_3.8-0.1_m68k.deb
PowerPC:: http://security.debian.org/dists/potato/updates/main/binary-powerpc/nis_3.8-0.1_powerpc.deb
Sun SPARC:: http://security.debian.org/dists/potato/updates/main/binary-sparc/nis_3.8-0.1_sparc.deb