Рекомендация Debian по безопасности
lpr -- проблема контроля доступа и уязвимость суперпользователя
- Дата сообщения:
- 09.01.2000
- Затронутые пакеты:
-
lpr
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- На данный момент ссылки на внешние базы данных по безопасности отсутствуют.
- Более подробная информация:
- Версия lpr, поставляемая в составе Debian
GNU/Linux 2.1, и обновлённая версия 2.1r4 содержат две
проблемы безопасности:
- имя клиентской машины проверяется неправильно, поэтому если кто-то может
управлять записью DNS для своего IP-адреса, он может обмануть lpr и получить соответствующий доступ.
- можно передать дополнительные опции программе sendmail, которые используются
для указания другого файла настройки. Эта проблема может использоваться для получения доступа с правами суперпользователя.
Обе проблемы были исправлены в версии 0.48-0.slink1. Рекомендуется как можно скорее обновить
пакет lpr.
- Исправлено в:
-
- Исходный код:
- http://security.debian.org/dists/stable/updates/source/lpr_0.48-0.slink1.diff.gz
- http://security.debian.org/dists/stable/updates/source/lpr_0.48-0.slink1.dsc
- http://security.debian.org/dists/stable/updates/source/lpr_0.48.orig.tar.gz
- alpha:
- http://security.debian.org/dists/stable/updates/binary-alpha/lpr_0.48-0.slink1_alpha.deb
- i386:
- http://security.debian.org/dists/stable/updates/binary-i386/lpr_0.48-0.slink1_i386.deb
- m68k:
- http://security.debian.org/dists/stable/updates/binary-m68k/lpr_0.48-0.slink1_m68k.deb
- sparc:
- http://security.debian.org/dists/stable/updates/binary-sparc/lpr_0.48-0.slink1_sparc.deb