Рекомендация Debian по безопасности
cfingerd -- уязвимость суперпользователя в cfingerd
- Дата сообщения:
- 14.08.1999
- Затронутые пакеты:
- cfingerd
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-1999-0813.
- Более подробная информация:
-
Было сообщено о серьёзной ошибке в cfingerd
до версии 1.4.0. Она присутствует во всех версиях cfingerd от 1.2.0 до любой
версии из серии 1.3.2. Если программа настроена особым образом, то данная ошибка позволяет любому локальному пользователю
выполнять произвольные программы с правами суперпользователя.
Данная уязвимость вам не касается, если вы отключили ALLOW_EXECUTION в файле cfingerd.conf в разделе "internal_config", т. е. если этот файл содержит стоку "-ALLOW_EXECUTION"
Так этот пакет настроен по умолчанию. Если вы используете файл cfingerd.conf предоставляемый по умолчанию, поставляемый дистрибутивом, то вы в безопасности. Тем не менее, всё равно следует выполнить обновление.
Все версии cfingerd с 1.2.0 и до 1.4.0 уязвимы к данной проблеме. Исправление из версии 1.4.0 было добавлено в cfingerd 1.3.2-18.1 для выпуска slink, эта версия доступа по адресу, указанному ниже.
Дополнительная информация об этой ошибке может быть найдена в PacketStorm - cfingerd.txt
N.B.: исправленные пакеты доступны для Debian 2.1 (slink). В Debian 2.2 (potato) поставляется cfingerd версии 1.4.0.
- Исправлено в:
-
- alpha:
- http://security.debian.org/dists/stable/updates/binary-alpha/cfingerd_1.3.2-18.1_alpha.deb
- i386:
- http://security.debian.org/dists/stable/updates/binary-i386/cfingerd_1.3.2-18.1_i386.deb
- m68k:
- http://security.debian.org/dists/stable/updates/binary-m68k/cfingerd_1.3.2-18.1_m68k.deb
- sparc:
- http://security.debian.org/dists/stable/updates/binary-sparc/cfingerd_1.3.2-18.1_sparc.deb