Debian-Sicherheitsankündigung

DSA-304-1 lv -- Privilegien-Erweiterung

Datum des Berichts:
15. Mai 2003
Betroffene Pakete:
lv
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 7613.
In Mitres CVE-Verzeichnis: CVE-2003-0188.
Weitere Informationen:

Leonard Stiles entdeckte, dass lv, ein mehrsprachiger Dateibetrachter, Optionen aus einer Konfigurationsdatei im aktuellen Verzeichnis liest, wenn diese vorhanden ist. Da eine solche Datei dort durch einen böswilligen Benutzer platziert werden könnte und lv-Konfigurationsoptionen benutzt werden können, um Programme auszuführen, stellt dies eine Sicherheitsverwundbarkeit dar. Ein Angreifer kann die Privilegien des Benutzers erlangen, der lv ausführt, einschließlich root.

Für die stable Distribution (Woody) wurde dieses Problem in Version 4.49.4-7woody2 behoben.

Für die alte stable Distribution (Potato) wurde dieses Problem in Version 4.49.3-4potato2 behoben.

Für die unstable Distribution (Sid) wurde dieses Problem in Version 4.49.5-2 behoben.

Wir empfehlen Ihnen, Ihr lv-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2.dsc
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2.diff.gz
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_sparc.deb

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.3-4potato2.dsc
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.3-4potato2.diff.gz
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.3.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.3-4potato2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.3-4potato2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.3-4potato2_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.3-4potato2_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.3-4potato2_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/l/lv/lv_4.49.3-4potato2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.