Nicolas Boullis hat ein hässliches Sicherheits-Problem im wmtv (einem koppelbaren video4linux TV-Spieler für WindowMaker) Paket gefunden, wie es mit Debian GNU/Linux 2.2 verbreitet wird.
wmtv kann optional ein Kommando aufrufen, wenn Sie doppelt auf das TV-Fenster klicken. Dieses Kommando kann über die -e Kommando-Zeilen Option gesetzt werden. Da wmtv jedoch suid root installiert ist, wurde dieses Kommando ebenfalls als root ausgeführt, was lokalen Benutzern eine sehr einfache Möglichkeit bot, root-Rechte zu erlangen.
Das wurde in der Version 0.6.5-2potato1 behoben, indem die root-Privilegien fallen gelassen werden, bevor der Befehl ausgeführt wird. Wir empfehlen Ihnen, dass Sie Ihr wmtv Paket umgehend aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.