Porada dotycząca bezpieczeństwa Debiana

DSA-431-1 perl -- wypływ informacji

Data Zgłoszenia:

01.02.2004

Narażone Pakiety:

perl

Podatny:

Tak

Odnośniki do baz danych na temat bezpieczeństwa:

Baza danych Bugtraq (SecurityFocus): Nr BugTraq 9543.
W słowniku CVE Mitre-a CVE-2003-0618.

Więcej informacji:

Paul Szabo odkrył kilka podobnych do siebie błędów w suidperl, pomocniczym programie do uruchamiania skryptów perla z prawami setuid. Wykorzystując te błędy, atakujący może zmusić suidperla do pokazania informacji o plikach (takich jak sprawdzenie istnienia danych plików i ich niektórych przywilejów) które nie powinny być dostępne dla nieuprzywilejowanych użytkowników.

W stabilnej dystrybucji (woody) powyższy problem został wyeliminowany w wersji 5.6.1-8.6.

W dystrybucji niestabilnej (sid) powyższy problem będzie poprawiony niedługo. Błędowi przypisano numer #220486.

Zalecamy aktualizację pakietu perl jeśli posiadasz zainstalowany pakiet "perl-suid"

Naprawiony w:

Debian GNU/Linux 3.0 (woody)

Źródło:: http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6.dsc; http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6.diff.gz; http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1.orig.tar.gz
Element niezależny od architektury:: http://security.debian.org/pool/updates/main/p/perl/libcgi-fast-perl_5.6.1-8.6_all.deb; http://security.debian.org/pool/updates/main/p/perl/perl-doc_5.6.1-8.6_all.deb; http://security.debian.org/pool/updates/main/p/perl/perl-modules_5.6.1-8.6_all.deb
Alpha:: http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_alpha.deb; http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_alpha.deb; http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_alpha.deb; http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_alpha.deb; http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_alpha.deb; http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_arm.deb; http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_arm.deb; http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_arm.deb; http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_arm.deb; http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_arm.deb; http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_i386.deb; http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_i386.deb; http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_i386.deb; http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_i386.deb; http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_i386.deb; http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_ia64.deb; http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_ia64.deb; http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_ia64.deb; http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_ia64.deb; http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_ia64.deb; http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_hppa.deb; http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_hppa.deb; http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_hppa.deb; http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_hppa.deb; http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_hppa.deb; http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_m68k.deb; http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_m68k.deb; http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_m68k.deb; http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_m68k.deb; http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_m68k.deb; http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_mips.deb; http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_mips.deb; http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_mips.deb; http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_mips.deb; http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_mips.deb; http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_mipsel.deb; http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_mipsel.deb; http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_mipsel.deb; http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_mipsel.deb; http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_mipsel.deb; http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_powerpc.deb; http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_powerpc.deb; http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_powerpc.deb; http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_powerpc.deb; http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_powerpc.deb; http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_s390.deb; http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_s390.deb; http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_s390.deb; http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_s390.deb; http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_s390.deb; http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_sparc.deb; http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_sparc.deb; http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_sparc.deb; http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_sparc.deb; http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_sparc.deb; http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_sparc.deb

Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.

Ta strona jest również dostępna w następujących językach:

dansk Deutsch English español français 日本語 (Nihongo) Русский (Russkij) svenska

Jak ustawić domyślny język dokumentu

Aby zgłosić problem ze stroną www, prześlij wiadomość po angielsku na debian-www@lists.debian.org lub po polsku na debian-l10n-polish@lists.debian.org. Inne informacje kontaktowe możesz uzyskać na stronie kontaktowej Debiana.