Рекомендация Debian по безопасности

lsof -- переполнение буфера в lsof

Дата сообщения:
20.02.1999
Затронутые пакеты:
lsof
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-1999-0405.
Более подробная информация:
Когда на lsof установлен флаг прав доступа для запуска от лица суперпользователя, либо от лица группы setgid kmem, программа оказывается уязвимой к переполнению буфера, который может приводить к прямой компрометации суперпользователя, либо к компрометации суперпользователя через изменение работающего ядра.

Это сообщение из архива Securityfocus с сайта hert.org подчёркивает, что на lsof не должен быть установлен флаг прав доступа, позволяющий запуск от лица другого пользователя или группы.

Исправлено в:
Исходный код:
http://ftp.debian.org/debian/dists/proposed-updates/lsof_4.37-3.dsc
http://ftp.debian.org/debian/dists/proposed-updates/lsof_4.37-3.diff.gz
http://ftp.debian.org/debian/dists/proposed-updates/lsof_4.37.orig.tar.gz
i386:
http://ftp.debian.org/debian/dists/proposed-updates/lsof-2.0.35_4.37-3_i386.deb
m68k:
http://ftp.debian.org/debian/dists/proposed-updates/lsof-2.0.36_4.37-3_m68k.deb