Bulletin d'alerte Debian

DSA-139-1 super -- Format de chaîne vulnérable

Date du rapport :
1er août 2002
Paquets concernés :
super
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 5367.
Dans le dictionnaire CVE du Mitre : CVE-2002-0817.
Plus de précisions :

GOBBLES a trouvé une utilisation dangereuse du format d'une chaîne dans le paquet super. Le programme super est utilisé pour que des utilisateurs et des programmes particuliers accèdent à certains utilisateurs systèmes. En exploitation de ce format de chaîne, un utilisateur local peut obtenir un accès root sans autorisation.

Ce problème a été corrigé dans la version 3.12.2-2.1 pour l'ancienne distribution stable (Potato), dans la version 3.16.1-1.1 pour l'actuelle distribution stable (Woody) et dans la version 3.18.0-3 pour la distribution unstable (Sid).

Nous vous recommandons de mettre à jour votre paquet super immédiatement.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/pool/updates/main/s/super/super_3.12.2-2.1.dsc
http://security.debian.org/pool/updates/main/s/super/super_3.12.2.orig.tar.gz
http://security.debian.org/pool/updates/main/s/super/super_3.12.2-2.1.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/s/super/super_3.12.2-2.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/s/super/super_3.12.2-2.1_arm.deb
Intel ia32:
http://security.debian.org/pool/updates/main/s/super/super_3.12.2-2.1_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/super/super_3.12.2-2.1_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/super/super_3.12.2-2.1_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/super/super_3.12.2-2.1_sparc.deb

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1.dsc
http://security.debian.org/pool/updates/main/s/super/super_3.16.1.orig.tar.gz
http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_alpha.deb
Intel ia32:
http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_i386.deb
Intel ia64:
http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_ia64.deb
HP Precision:
http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_mipsel.deb
IBM S/390 architecture:
http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_s390.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/super/super_3.16.1-1.1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.