Рекомендация Debian по безопасности

lpr -- проблема контроля доступа и уязвимость суперпользователя

Дата сообщения:
09.01.2000
Затронутые пакеты:
lpr
Уязвим:
Да
Ссылки на базы данных по безопасности:
На данный момент ссылки на внешние базы данных по безопасности отсутствуют.
Более подробная информация:
Версия lpr, поставляемая в составе Debian GNU/Linux 2.1, и обновлённая версия 2.1r4 содержат две проблемы безопасности:
  • имя клиентской машины проверяется неправильно, поэтому если кто-то может управлять записью DNS для своего IP-адреса, он может обмануть lpr и получить соответствующий доступ.
  • можно передать дополнительные опции программе sendmail, которые используются для указания другого файла настройки. Эта проблема может использоваться для получения доступа с правами суперпользователя.
Обе проблемы были исправлены в версии 0.48-0.slink1. Рекомендуется как можно скорее обновить пакет lpr.
Исправлено в:
Исходный код:
http://security.debian.org/dists/stable/updates/source/lpr_0.48-0.slink1.diff.gz
http://security.debian.org/dists/stable/updates/source/lpr_0.48-0.slink1.dsc
http://security.debian.org/dists/stable/updates/source/lpr_0.48.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/binary-alpha/lpr_0.48-0.slink1_alpha.deb
i386:
http://security.debian.org/dists/stable/updates/binary-i386/lpr_0.48-0.slink1_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/binary-m68k/lpr_0.48-0.slink1_m68k.deb
sparc:
http://security.debian.org/dists/stable/updates/binary-sparc/lpr_0.48-0.slink1_sparc.deb