Säkerhetsbulletin från Debian

DSA-691-1 abuse -- flera sårbarheter

Rapporterat den:

2005-03-07

Berörda paket:

abuse

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2005-0098, CVE-2005-0099.

Ytterligare information:

Flera sårbarheter har upptäckts i abuse, SDL-versionen av actionspelet Abuse. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

CAN-2005-0098
Erik Sjölund upptäckte flera buffertspill i hanteringen av kommandoraden, vilket kunde leda till exekvering av godtycklig kod med förhöjda privilegier eftersom det installeras setuid root.
CAN-2005-0099
Steve Kemp upptäckte att abuse skapar ett par filer utan att först släppa privilegier, vilket kan göra det möjligt att skapa och skriva över godtyckliga filer.

För den stabila utgåvan (Woody) har dessa problem rättats i version 2.00+-3woody4.

Den instabila utgåvan (Sid) innehåller inte paketet abuse längre.

Vi rekommenderar att ni uppgraderar ert abuse-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:: http://security.debian.org/pool/updates/main/a/abuse/abuse_2.00+-3woody4.dsc; http://security.debian.org/pool/updates/main/a/abuse/abuse_2.00+-3woody4.diff.gz; http://security.debian.org/pool/updates/main/a/abuse/abuse_2.00+.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/a/abuse/abuse_2.00+-3woody4_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/a/abuse/abuse_2.00+-3woody4_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/a/abuse/abuse_2.00+-3woody4_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/a/abuse/abuse_2.00+-3woody4_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/a/abuse/abuse_2.00+-3woody4_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/a/abuse/abuse_2.00+-3woody4_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/a/abuse/abuse_2.00+-3woody4_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/a/abuse/abuse_2.00+-3woody4_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/a/abuse/abuse_2.00+-3woody4_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/a/abuse/abuse_2.00+-3woody4_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/a/abuse/abuse_2.00+-3woody4_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.