Bulletin d'alerte Debian

xmcd -- Droit de binaires non sécurisés

Date du rapport:

21 novembre 2000

Paquets concernés:

xmcd, cddb

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Pour plus d'information:

Le paquet xmcd Debian GNU/Linux installait pour des raisons historiques deux fichiers setuid pour accéder aux bases de données cddb et aux lecteurs cdrom SCSI. Plus récemment, le paquet offre à l'administrateur la possibilité de supprimer ces drapeaux setuid, cependant, il le fait incorrectement.

Un débordement de capacité dans ncurses, lié au binaire cda, permet l'exploitation du compte root. Le nouveau paquet ncurses réparant cette erreur est disponible, tout comme la version du paquet xmcd qui désormais n'installe plus le binaire avec un drapeau setuid.

Le problème a été réparé pour xmcd 2.5pl1-7.1, nous vous recommandons la mise à jour immédiate du paquet. Il est désormais nécessaire d'ajouter l'utilisateur xmcd aux groupes "audio" et "cdrom" afin de pouvoir continuer à utiliser xmcd.

Corrigé dans:

Debian GNU/Linux 2.2 (potato)

Source :: http://security.debian.org/dists/potato/updates/main/source/xmcd_2.5pl1-7.1.dsc; http://security.debian.org/dists/potato/updates/main/source/xmcd_2.5pl1-7.1.diff.gz; http://security.debian.org/dists/potato/updates/main/source/xmcd_2.5pl1.orig.tar.gz
Alpha:: http://security.debian.org/dists/potato/updates/main/binary-alpha/cddb_2.5pl1-7.1_alpha.deb; http://security.debian.org/dists/potato/updates/main/binary-alpha/xmcd_2.5pl1-7.1_alpha.deb
ARM:: http://security.debian.org/dists/potato/updates/main/binary-arm/cddb_2.5pl1-7.1_arm.deb; http://security.debian.org/dists/potato/updates/main/binary-arm/xmcd_2.5pl1-7.1_arm.deb
Intel IA32:: http://security.debian.org/dists/potato/updates/main/binary-i386/cddb_2.5pl1-7.1_i386.deb; http://security.debian.org/dists/potato/updates/main/binary-i386/xmcd_2.5pl1-7.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/potato/updates/main/binary-m68k/cddb_2.5pl1-7.1_m68k.deb; http://security.debian.org/dists/potato/updates/main/binary-m68k/xmcd_2.5pl1-7.1_m68k.deb
PowerPC:: http://security.debian.org/dists/potato/updates/main/binary-powerpc/cddb_2.5pl1-7.1_powerpc.deb; http://security.debian.org/dists/potato/updates/main/binary-powerpc/xmcd_2.5pl1-7.1_powerpc.deb
Sun SPARC:: http://security.debian.org/dists/potato/updates/main/binary-sparc/cddb_2.5pl1-7.1_sparc.deb; http://security.debian.org/dists/potato/updates/main/binary-sparc/xmcd_2.5pl1-7.1_sparc.deb