Sicherheits-Informationen / 1999 / Sicherheitsinformationen -- xfs

Debian-Sicherheitsankündigung

xfs -- Symbolischer Link kann zur Änderung von Dateirechten verwendet werden

Datum des Berichts:

31. Mär 1999

Betroffene Pakete:

xfs

Verwundbar:

Nein

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 359.
In Mitres CVE-Verzeichnis: CVE-1999-0434.

Weitere Informationen:

Einige Implementierungen von xfs setzen inkorrekterweise die Rechte von /tmp/.font-unix, selbst wenn dies ein symbolischer Link auf eine andere Datei ist. Debian 2.1 (Slink) ist für dieses Problem nicht verwundbar.

Diese »ISS Security – X-Force Warnung – xfree86-xfs-symlink-dos«-Seite enthält eine gute Zusammenfassung der xfs-Verwundbarkeit.

Die Verwundbarkeit kann dazu benutzt werden, die Rechte von /etc/shadow zu ändern. Dies wurde im Neohapsis-Archiv (BugTraq) 1999 »Fehler in xfs« gezeigt. Der Diskussionsstrang kann in InDenial-BugTraq-Archive – März 1999 »Fehler in xfs« nachgelesen werden.