Bulletin d'alerte Debian

DSA-310-1 xaos -- Exécution anormale en tant que root

Date du rapport:

8 juin 2003

Paquets concernés:

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identificateur BugTraq 7838.
Dans le dictionnaire CVE du Mitre : CVE-2003-0385.

Pour plus d'information:

XaoS, un programme pour afficher des images fractales, est installé avec les droits de root sur certaines architectures pour utiliser svgalib, qui demande un accès privilégié au matériel vidéo. Cependant, il n'est pas conçu pour une exécution sécurisée et peut être exploité pour obtenir les privilèges de root.

Dans ces paquets mis à jour, le bit setuid a été enlevé du binaire xaos. Les utilisateurs qui ont besoin de la fonctionnalité de la svgalib devront donner ces privilèges seulement à un certain groupe de confiance.

Cette faille de sécurité est exploitable dans la version 3.0-18 (Potato) sur les architectures i386 et alpha, et dans la version 3.0-23 (Woody) sur l'architecture i386 seulement.

Pour la distribution stable (Woody), ce problème a été corrigé dans la version 3.0-23woody1.

Pour l'ancienne distribution stable (Potato), ce problème a été corrigé dans la version 3.0-18potato1.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 3.1r-4.

Nous vous recommandons de mettre à jour votre paquet xaos.

Corrigé dans:

Debian GNU/Linux 2.2 (potato)

Source :: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1.dsc; http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1.diff.gz; http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_sparc.deb

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1.dsc; http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1.diff.gz; http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.