Alerta de Segurança Debian

DSA-304-1 lv -- escalonamento de privilégio

Data do Alerta:

15 Mai 2003

Pacotes Afetados:

Vulnerável:

Sim

Referência à base de dados de segurança:

Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 7613.
No dicionário CVE do Mitre: CVE-2003-0188.

Informações adicionais:

Leonard Stiles descobriu que o lv, um visualizador de arquivos multilingual, pode ler opções de um arquivo de configuração no diretório corrente. Uma vez que que este arquivo pode ser inserido por um usuário malicioso e as opções de configuração do lv podem ser usadas para executar comandos, isto representa uma vulnerabilidade na segurança. Um atacante pode ganhar os privilégios do usuário que roda o lv, incluindo os privilégios da conta root.

Na atual distribuição estável (woody), este problema foi corrigido na versão 4.49.4-7woody2.

Na antiga distribuição estável (potato), este problema foi corrigido na versão 4.49.3-4potato2.

Na distribuição instável (sid), este problema foi corrigido na versão 4.49.5-2.

Nós recomendamos que você atualize seus pacotes lv.

Corrigido em:

Debian GNU/Linux 3.0 (woody)

Fonte:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2.dsc; http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2.diff.gz; http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.4-7woody2_sparc.deb

Debian GNU/Linux 2.2 (potato)

Fonte:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.3-4potato2.dsc; http://security.debian.org/pool/updates/main/l/lv/lv_4.49.3-4potato2.diff.gz; http://security.debian.org/pool/updates/main/l/lv/lv_4.49.3.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.3-4potato2_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.3-4potato2_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.3-4potato2_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.3-4potato2_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.3-4potato2_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/l/lv/lv_4.49.3-4potato2_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.