Debian セキュリティ勧告
lpr -- アクセス制御の問題と root 権限の不正利用
- 報告日時:
- 2000-01-09
- 影響を受けるパッケージ:
- lpr
- 危険性:
- あり
- 参考セキュリティデータベース:
- 現時点では、その他の外部参考セキュリティデータベースはありません。
- 詳細:
- Debian GNU/Linux 2.1
およびそのアップデートバージョンである 2.1r4 にて配布されている
lpr のバージョンには、以下の二つのセキュリティ上の問題があります。
- クライアントのホスト名が正しく確認されないため、 その IP に関する DNS エントリを制御できる場合、 lpr を利用してアクセスが可能になってしまいます。
- sendmail が他の設定ファイルを利用するように 拡張オプションを sendmail に設定することが可能になっていました。 root アクセスを入手するためにこれを利用することができます。
- 修正:
-
- ソース:
- http://security.debian.org/dists/stable/updates/source/lpr_0.48-0.slink1.diff.gz
- http://security.debian.org/dists/stable/updates/source/lpr_0.48-0.slink1.dsc
- http://security.debian.org/dists/stable/updates/source/lpr_0.48.orig.tar.gz
- alpha:
- http://security.debian.org/dists/stable/updates/binary-alpha/lpr_0.48-0.slink1_alpha.deb
- i386:
- http://security.debian.org/dists/stable/updates/binary-i386/lpr_0.48-0.slink1_i386.deb
- m68k:
- http://security.debian.org/dists/stable/updates/binary-m68k/lpr_0.48-0.slink1_m68k.deb
- sparc:
- http://security.debian.org/dists/stable/updates/binary-sparc/lpr_0.48-0.slink1_sparc.deb