Debian-Sicherheitsankündigung
cfingerd -- root-Ausbeutung in cfingerd
- Datum des Berichts:
- 14. Aug 1999
- Betroffene Pakete:
- cfingerd
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-1999-0813.
- Weitere Informationen:
-
Ein ernsthafter Fehler wurde in cfingerd vor Version 1.4.0 gemeldet. Er ist in allen Versionen von cfingerd zwischen 1.2.0 und 1.3.2 einschließlich enthalten. Falls cfingerd entsprechend konfiguriert ist, erlaubt es dieser Fehler lokalen Benutzern, beliebige Programme mit root-Rechten auszuführen.
Sie sind sicher, falls Sie die Option »ALLOW_EXECUTION« in Ihrer cfingerd.conf-Datei im Abschnitt »internal_config« deaktiviert haben, d.h. das diese Datei die Zeile »-ALLOW_EXECUTION« enthält.
Dies ist die Voreinstellung des Pakets. Falls Sie die Standard-cfingerd.conf-Datei, wie sie in der Distribution ausgeliefert wird, verwenden, sind Sie sicher. Dennoch sollten Sie das Paket aktualisieren.
Alle Versionen von cfingerd seit Version 1.2.0 und vor Version 1.4.0 sind für diese Schwachstelle (Exploit) anfällig. Die Korrektur aus Version 1.4.0 wurde an cfingerd 1.3.2-18.1 von Slink angepasst, welches an der unten angeführten Stelle erhältlich ist.
Weitere Informationen über diesen Fehler können in PacketStorm - cfingerd.txt gefunden werden.
Übriges: Korrigierte Pakete sind unterhalb für Debian 2.1 (Slink) aufgeführt. cfingerd 1.4.0 ist in Debian 2.2 (Potato) enthalten.
- Behoben in:
-
- alpha:
- http://security.debian.org/dists/stable/updates/binary-alpha/cfingerd_1.3.2-18.1_alpha.deb
- i386:
- http://security.debian.org/dists/stable/updates/binary-i386/cfingerd_1.3.2-18.1_i386.deb
- m68k:
- http://security.debian.org/dists/stable/updates/binary-m68k/cfingerd_1.3.2-18.1_m68k.deb
- sparc:
- http://security.debian.org/dists/stable/updates/binary-sparc/cfingerd_1.3.2-18.1_sparc.deb