Pomiń szybką nawigację

• O Debianie
• Wiadomości
• Jak zdobyć Debiana
• Pomoc
• Kącik deweloperów
• Mapa serwisu
• Wyszukiwanie

Porada dotycząca bezpieczeństwa Debiana

DSA-428-1 slocate -- przepełnienie bufora

Data Zgłoszenia:

20.01.2004

Narażone Pakiety:

slocate

Podatny:

Tak

Odnośniki do baz danych na temat bezpieczeństwa:

Baza danych Bugtraq (SecurityFocus): Nr BugTraq 8780.
W słowniku CVE Mitre-a CVE-2003-0848.
Baza danych błędów, porad i incydentów CERT: VU#441956.

Więcej informacji:

Znaleziono naruszenie bezpieczeństwa w slocate, programie do indeksowania i wyszukiwania plików, za pomocą którego odpowiednio spreparowana baza danych może przepełnić bufor oparty na stosie. Ta podatność może być wykorzystana przez atakującego lokalnie do uzyskania praw grupy "slocate", która ma dostęp do globalnej bazy danych zawierającej listę ścieżek wszystkich plików w systemie włącznie z tymi, które powinny być widoczne tylko dla uprzywilejowanych użytkowników.

Problem ten, a także podobne potencjalne problemy, został rozwiązany poprzez modyfikację slocate tak aby program tracił przywileje zanim zacznie czytać w bazie danych użytkownika.

W stabilnej dystrybucji (woody) powyższy problem został wyeliminowany w wersji 2.6-1.3.2.

W dystrybucji niestabilnej (sid) powyższy problem będzie poprawiony niedługo. Informacja o stanie tego problemu przypisana jest do błędu Debiana #226103.

Zalecamy aktualizację pakietu slocate.

Naprawiony w:

Debian GNU/Linux 3.0 (woody)

Źródło:

http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2.dsc

http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2.diff.gz

http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.1_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_sparc.deb

Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.

Ta strona jest również dostępna w następujących językach:

dansk Deutsch English español français 日本語 (Nihongo) Русский (Russkij) svenska

Jak ustawić domyślny język dokumentu