Debian セキュリティ勧告

lpr -- アクセス制御の問題と root 権限の不正利用

報告日時:

2000-01-09

影響を受けるパッケージ:

lpr

危険性:

あり

参考セキュリティデータベース:

現時点では、その他の外部参考セキュリティデータベースはありません。

詳細:

Debian GNU/Linux 2.1 およびそのアップデートバージョンである 2.1r4 にて配布されている lpr のバージョンには、以下の二つのセキュリティ上の問題があります。

クライアントのホスト名が正しく確認されないため、その IP に関する DNS エントリを制御できる場合、 lpr を利用してアクセスが可能になってしまいます。
sendmail が他の設定ファイルを利用するように拡張オプションを sendmail に設定することが可能になっていました。 root アクセスを入手するためにこれを利用することができます。

どちらの問題もバージョン 0.48-0.slink1 にて修正されました。直ちにお使いの lpr パッケージをアップグレードすることをお勧めします。

修正:

ソース:: http://security.debian.org/dists/stable/updates/source/lpr_0.48-0.slink1.diff.gz; http://security.debian.org/dists/stable/updates/source/lpr_0.48-0.slink1.dsc; http://security.debian.org/dists/stable/updates/source/lpr_0.48.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/binary-alpha/lpr_0.48-0.slink1_alpha.deb
i386:: http://security.debian.org/dists/stable/updates/binary-i386/lpr_0.48-0.slink1_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/binary-m68k/lpr_0.48-0.slink1_m68k.deb
sparc:: http://security.debian.org/dists/stable/updates/binary-sparc/lpr_0.48-0.slink1_sparc.deb