Säkerhetsbulletin från Debian

nis -- lokalt säkerhetshål

Rapporterat den:

2000-10-14

Berörda paket:

nis

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2000-1040.

Ytterligare information:

Versionen av nis som distribuerades med Debian GNU/Linux 2.1 och 2.2 innehåller ett ypbind-paket med ett säkerhetsproblem.

ypbind används för att efterfråga information från en nis-server, vilken sedan används av den lokala maskinen. Loggningskoden i ypbind var sårbar för en printf-formatattack som kunde utnyttjas genom att sända en särskilt komponerad förfrågan till ypbind. På detta sätt kunde ypbind utnyttjas för att utföra valfri kod som root.

Detta har rättats i version 3.5-2.1 för Debian GNU/Linux 2.1 och version 3.8-0.1 för Debian GNU/Linux 2.2.

För tillfället tillverkas inte säkerhetsrättelser för slink längre för arkitekturerna alpha och sparc. Stöd för i386 och m68k kommer att fortsätta månaden ut.

Rättat i:

Debian GNU/Linux 2.1 (slink)

Källkod:: http://security.debian.org/dists/slink/updates/source/nis_3.5-2.1.diff.gz; http://security.debian.org/dists/slink/updates/source/nis_3.5-2.1.dsc; http://security.debian.org/dists/slink/updates/source/nis_3.5.orig.tar.gz
Intel IA32:: http://security.debian.org/dists/slink/updates/binary-i386/nis_3.5-2.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/slink/updates/binary-m68k/nis_3.5-2.1_m68k.deb

Debian GNU/Linux 2.2 (potato)

Källkod:: http://security.debian.org/dists/potato/updates/main/source/nis_3.8-0.1.diff.gz; http://security.debian.org/dists/potato/updates/main/source/nis_3.8-0.1.dsc; http://security.debian.org/dists/potato/updates/main/source/nis_3.8.orig.tar.gz
Alpha:: http://security.debian.org/dists/potato/updates/main/binary-alpha/nis_3.8-0.1_alpha.deb
ARM:: http://security.debian.org/dists/potato/updates/main/binary-arm/nis_3.8-0.1_arm.deb
Intel IA32:: http://security.debian.org/dists/potato/updates/main/binary-i386/nis_3.8-0.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/potato/updates/main/binary-m68k/nis_3.8-0.1_m68k.deb
PowerPC:: http://security.debian.org/dists/potato/updates/main/binary-powerpc/nis_3.8-0.1_powerpc.deb
Sun SPARC:: http://security.debian.org/dists/potato/updates/main/binary-sparc/nis_3.8-0.1_sparc.deb