Bulletin d'alerte Debian
lpr -- Problème de contrôle d'accès et exploitation de root
- Date du rapport :
- 9 janvier 2000
- Paquets concernés :
-
lpr
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
- Plus de précisions :
- La version de lpr distribuée avec Debian
GNU/Linux 2.1 et la version mise à jour 2.1r4 connaissent deux
problèmes de sécurité :
- Le nom d'hôte du client n'est pas vérifié correctement, par conséquent,
une personne en mesure de contrôler l'entrée DNS pour ces IP,
pourra placer lpr en accès ouvert.
- Il est possible de spécifier des options supplémentaires vers
sendmail qui peut être utilisé pour spécifier un autre fichier de
configuration. Cette situation peut amener à l'obtention d'un accès
root.
Ces deux problèmes ont été réparés dans 0.48-0.slink1. Nous vous
recommandons la mise à jour immédiate de votre paquet lpr.
- Corrigé dans :
-
- Source :
- http://security.debian.org/dists/stable/updates/source/lpr_0.48-0.slink1.diff.gz
- http://security.debian.org/dists/stable/updates/source/lpr_0.48-0.slink1.dsc
- http://security.debian.org/dists/stable/updates/source/lpr_0.48.orig.tar.gz
- alpha:
- http://security.debian.org/dists/stable/updates/binary-alpha/lpr_0.48-0.slink1_alpha.deb
- i386:
- http://security.debian.org/dists/stable/updates/binary-i386/lpr_0.48-0.slink1_i386.deb
- m68k:
- http://security.debian.org/dists/stable/updates/binary-m68k/lpr_0.48-0.slink1_m68k.deb
- sparc:
- http://security.debian.org/dists/stable/updates/binary-sparc/lpr_0.48-0.slink1_sparc.deb