Debian セキュリティ勧告

lpr -- アクセス制御の問題と root 権限の不正利用

報告日時:
2000-01-09
影響を受けるパッケージ:
lpr
危険性:
あり
参考セキュリティデータベース:
現時点では、その他の外部参考セキュリティデータベースはありません。
詳細:
Debian GNU/Linux 2.1 およびそのアップデートバージョンである 2.1r4 にて配布されている lpr のバージョンには、以下の二つのセキュリティ上の問題があります。
  • クライアントのホスト名が正しく確認されないため、 その IP に関する DNS エントリを制御できる場合、 lpr を利用してアクセスが可能になってしまいます。
  • sendmail が他の設定ファイルを利用するように 拡張オプションを sendmail に設定することが可能になっていました。 root アクセスを入手するためにこれを利用することができます。
どちらの問題もバージョン 0.48-0.slink1 にて修正されました。 直ちにお使いの lpr パッケージをアップグレードすることをお勧めします。
修正:
ソース:
http://security.debian.org/dists/stable/updates/source/lpr_0.48-0.slink1.diff.gz
http://security.debian.org/dists/stable/updates/source/lpr_0.48-0.slink1.dsc
http://security.debian.org/dists/stable/updates/source/lpr_0.48.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/binary-alpha/lpr_0.48-0.slink1_alpha.deb
i386:
http://security.debian.org/dists/stable/updates/binary-i386/lpr_0.48-0.slink1_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/binary-m68k/lpr_0.48-0.slink1_m68k.deb
sparc:
http://security.debian.org/dists/stable/updates/binary-sparc/lpr_0.48-0.slink1_sparc.deb