Aviso de seguridad de Debian
cfingerd -- explotación de root en cfingerd
- Fecha del informe:
- 14 de ago de 1999
- Paquetes afectados:
- cfingerd
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-1999-0813.
- Información adicional:
-
Se ha informado de un error serio en cfingerd previo a la versión 1.4.0. Se
presenta en todas las versiones de cfingerd desde la 1.2.0 hasta cualquier
versión de la 1.3.2. Si está configurado adecuadamente, este error permite a
cualquier usuario local ejecutar programas arbitrarios con privilegios de
root.
Está seguro si tiene desactivada ALLOW_EXECUTION en su archivo cfingerd.conf en la sección "internal_config", por ejemplo si ese archivo tiene una línea "-ALLOW_EXECUTION"
Esta es la configuración predeterminada de este paquete. Si utiliza el archivo cfingerd.conf tal y como viene con la distribución, está seguro. Aún así, debería actualizar.
Todas las versiones de cfingerd anteriores, desde la 1.2.0 hasta la 1.4.0, eran vulnerables a esta explotación. La reparación de la 1.4.0 ha sido añadida a cfingerd 1.3.2-18.1 para slink, que está disponible en la dirección de abajo.
Se puede encontrar más información sobre este error en PacketStorm - cfingerd.txt
N.B.: Los paquetes reparados están disponibles abajo para Debian 2.1 (slink). cfingerd 1.4.0 se incluye en Debian 2.2 (potato).
- Arreglado en:
-
- alpha:
- http://security.debian.org/dists/stable/updates/binary-alpha/cfingerd_1.3.2-18.1_alpha.deb
- i386:
- http://security.debian.org/dists/stable/updates/binary-i386/cfingerd_1.3.2-18.1_i386.deb
- m68k:
- http://security.debian.org/dists/stable/updates/binary-m68k/cfingerd_1.3.2-18.1_m68k.deb
- sparc:
- http://security.debian.org/dists/stable/updates/binary-sparc/cfingerd_1.3.2-18.1_sparc.deb