Bulletin d'alerte Debian
cfingerd -- Faille dans cfingerd visant root
- Date du rapport :
- 14 août 1999
- Paquets concernés :
- cfingerd
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-1999-0813.
- Plus de précisions :
-
Un sérieux bogue dans cfingerd dans les versions antérieures à 1.4.0 a été
rapporté. Il est présent dans toutes les versions de cfingerd depuis 1.2.0
jusqu'à 1.3.2. Configuré d'une certaine façon, ce bogue permet à n'importe
quel utilisateur local d'exécuter n'importe quel code avec les privilèges de
root.
Vous êtes hors d'atteinte si vous avez désactivé ALLOW_EXECUTION dans votre fichier cfingerd.conf dans la section "internal_config", c'est-à-dire que le fichier contient la ligne "-ALLOW_EXECUTION".
C'est la configuration par défaut de ce paquet. Si vous utilisez le cfingerd.conf fourni par défaut par la distribution, vous êtes sauf. Cependant, vous devriez mettre à jour.
Toutes les versions de cfingerd comprises entre 1.2.0 et antérieures à la version 1.4.0 sont vulnérables à cette faille. La correction pour la version 1.4.0 a été ajouté à cfingerd 1.3.2-18.1 pour Slink, qui est disponible à l'emplacement indiqué ci-dessous.
Pour plus d'informations sur ce bogues, référez-vous à PacketStorm - cfingerd.txt
Note : Les paquets corrigés sont disponibles pour Debian 2.1 (Slink). Cfingerd 1.4.0 est inclus dans Debian 2.2 (Potato).
- Corrigé dans :
-
- alpha:
- http://security.debian.org/dists/stable/updates/binary-alpha/cfingerd_1.3.2-18.1_alpha.deb
- i386:
- http://security.debian.org/dists/stable/updates/binary-i386/cfingerd_1.3.2-18.1_i386.deb
- m68k:
- http://security.debian.org/dists/stable/updates/binary-m68k/cfingerd_1.3.2-18.1_m68k.deb
- sparc:
- http://security.debian.org/dists/stable/updates/binary-sparc/cfingerd_1.3.2-18.1_sparc.deb