Debian Weekly News - email

Von: Ben Collins <bcollins@DEBIAN.ORG>
Datum:         Mit., 10. Jan. 2001 14:22:22 -0500
An: BUGTRAQ@SECURITYFOCUS.COM
Betreff:      Aw: Lokaler Root-Exploit in Glibc
Reply-To: Ben Collins <bcollins@DEBIAN.ORG>

Am Mit., 10. Jan, 2001 um 12:06:48 -0700, schrieb Charles Stevenson:
> Hallo zusammen,
>   Dieses ist auf vuln-dev und der debian-devel-Liste rumgesprungen. Es
> betrifft glibc >= 2.1.9x und, so scheint es, viele, falls nicht alle
> Betriebssysteme, die diese Version von Glibc verwenden. Ben Collins
> schreibt: »Dies war nicht vorgesehen und die eigentliche Korrektur war ein
> fehlendes Kommata in der Liste der sicheren Umgebungsvariablen, die beim
> Start eines suid/sgid-Programms (darunter RESOLV_HOST_CONF) bereinigt
> gemeint zu werden sollten.« Der Exploit variiert von System zu System, aber
> in unserer Entwicklungsversion von Yellow Dog Linux war ich in der Lage,
> die /etc/shadow-Datei als normaler Benutzer in der folgenden Art und Weise
> anzuzeigen:
>
> export RESOLV_HOST_CONF=/etc/shadow
> ssh wasauchimmer.host.com
>
>   Andere Programme haben den gleichen Effekt, abhängig von den
> Standardeinstellungen für das System. Ich habe dies auf Red Hat 7.0,
> Yellow Dog Linux 2.0 (vor-Veröffentlichung) und Debian Woody ausprobiert.
> Andere haben ähnliche Ergebnisse auf Slackware und sogar »selbstgebrauten«
> GNU/Linux berichtet.

Nur eine Bemerkung. Das jüngste *veröffentlichte* Debian (2.2, Potato) ist
für dieses Problem nicht verwundbar, da es glibc 2.1.3 verwendet. Unsere
unveröffentlichten Testing- und Devel- (Woody- und Sid-) Distributionen sind
verwundbar, zumindest heute. Die korrigierten Pakete werden hochgeladen und
sollten innerhalb von 24-48 Stunden auf den Spiegeln sein.

Erwarten Sie kein Sicherheitsaktualisierungen dafür von Debian, da wir dies nur für
veröffentlichte Distributionen erstellen, die Woody und Sid nicht sind.

Um Anerkennung zu geben, wem Anerkennung gebührt: Jakub Jelinek hat den
eigentlichen Patch, der dieses spezielle Problem behebt, produziert. Ich
habe lediglich wiedergegeben, was ich wusste (im obigen Zitat).

--
 -----------=======-=-======-=========-----------=====------------=-=------
/  Ben Collins  --  ...on that fantastic voyage...  --  Debian GNU/Linux   \
`  bcollins@debian.org  --  bcollins@openldap.org  --  bcollins@linux.com  '
 `---=========------=======-------------=-=-----=-===-======-------=--=---'

Von: Bdale Garbee <bdale@gag.com>
Datum: Mit., 17. Jan 2001 03:11:56 -0700
An: debian-devel@lists.debian.org, debian-ia64@lists.debian.org
Betreff: Debian auf IA-64

Ich bin erfreut zu berichten, dass auf dem von HP an Agilent verliehene
IA-64-System, das sich in meinem Besitz befindet, nun glücklich Debian
GNU/Linux nativ läuft. Diese Maschine gelangte vor einigen Wochen »zur
Bewertung« ohne ein installiertes Betriebssystem in meine Hände, und da
das, was ich bewerten wollte, Debian war...

Dies wäre ohne die Hilfe, die ich von Randolph Chung erhalten habe, viel
schwieriger geworden. Er sprach mir Mut zu, wenn ich damit kämpfte, eine
funktionierende Kombination von Hardware- und BIOS-Version zu bekommen,
fertigte die chroot-Umgebung auf TurboLinux, die wir verwendeten, um die
Urlade-Arbeit zu erledigen, und half dann, einige Pakete zu bauen, bei
denen ich frustriert war.

Ich möchte auch gerne noch anerkennen, dass Ben Collins und Brendan O'Dea
im IRC immer zu rechten Zeit waren, um mir zu helfen, an Kämpfen beim Bau
von Glibc- und respektive Perl-Paketen vorbeizukommen. Ihre Geduld und ihr
Enthusiasmus hat geholfen!

Der derzeitige Status ist, dass ich ein 100%iges Debian-Wurzeldateisystem
boote und fast fertig damit bin, die richtigen Stücke an die Plätze zu
bekommen, um »von vorne« mit dem Bau von Paketen, die zum Hochladen geeignet
sind, anzufangen. Ich habe darum gebeten, dass ein binary-ia64-Baum erstellt
wird, und gehe davon aus, dass dies bald geschieht. Das Hochladen von Paketen
sollte innerhalb der nächsten Woche beginnen. Es scheint komplett möglich,
dass IA-64 dem Satz an unterstützten Portierungen für Woody beitritt, aber
es bleibt noch eine Menge Arbeit zwischen jetzt und dann!

Bevor die Hürde vom Betrieb in der chroot-Umgebung zum Booten eines realen
Debian-Dateisystems genommen wurde, hatten wir über 600 .debs gebaut, darunter
alle relevanten Abhängigkeiten vom boot-floppies-Paket. Es gibt einige
hässliche Hacks, die behandelt werden müssen, und ein paar wiederholbare interne
Compiler-Fehler in der sehr frühen Vorabveröffentlichung des Compilers, den
wir verwenden, aber ich gehe nicht davon aus, dass es lange dauern wird, um
eine respektable Anzahl von Paketen gebaut und hochgeladen zu haben.

Ich verstehe, dass es einigen Fortschritt in Richtung Erwerb eines IA-64-Systems
für die allgemeine Benutzung von Debian-Entwicklern gab. Ich hoffe, es gibt
dazu bald eine Ankündigung. In der Zwischenzeit bin ich *nicht* in der Lage,
Logins für jeden auf dieser Maschine bereitzustellen.

Bdale

Wenn Sie diesen Newsletter wöchentlich in Ihrer Mailbox haben wollen, abonnieren Sie die Mailingliste debian-news-german.

Hier gibt es ältere Ausgaben dieser Nachrichtenseite.

Diese Ausgabe der wöchentlichen Debian-Nachrichten wurde von Joey Hess erstellt.