Debianin tietoturvatiedote

DSA-310-1 xaos -- sopimattomat setuid-root-oikeudet

Ilmoitettu:

8. 6.2003

Vaikutuksen alaiset paketit:

xaos

Altis:

Kyllä

Viittaukset tietoturvatietokantoihin:

Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 7838.
Mitren CVE-sanakirjassa: CVE-2003-0385.

Lisätietoa:

XaoS, fraktaalikuvien näyttöohjelma, asennetaan setuid root -oikeuksin tietyissä arkkitehtuureissa jotta se voi käyttää svgalib-kirjastoa, joka taas vaatii pääsyn videolaitteistolle. Sitä ei kuitenkaan ole suunniteltu turvalliseen setuid-ajoon, ja tätä voidaan hyväksikäyttää root-oikeuksien saamiseksi.

Näissä päivitetyissä paketeissa xaos-binäärin setuid-bitti on poistettu. Käyttäjille, jotka tarvitsevat svgalib-toiminnallisuuden, tulisi myöntää nämä oikeudet vain luotetulle ryhmälle.

Tämän haavoittuvuuden hyväksikäyttö on mahdollista i386- ja alpha-arkkitehtuurien versiossa 3.0-18 (potato), ja ainoastaan i386-arkkitehtuurin versiossa 3.0-23 (woody).

Ongelma on korjattu vakaan jakelun (woody) versiossa 3.0-23woody1 .

Ongelma on korjattu aiemman vakaan jakelun (potato) versiossa 3.0-18potato1 .

Ongelma on korjattu epävakaan jakelun (sid) versiossa 3.1r-4 .

Suosittelemme päivittämään xaos-paketin.

Korjattu:

Debian GNU/Linux 2.2 (potato)

Lähde:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1.dsc; http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1.diff.gz; http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_sparc.deb

Debian GNU/Linux 3.0 (woody)

Lähde:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1.dsc; http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1.diff.gz; http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_sparc.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.