Säkerhetsbulletin från Debian
lpr -- åtkomstproblem och möjlighet att få rootbehörighet
- Rapporterat den:
- 2000-01-09
- Berörda paket:
-
lpr
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- För närvarande är inga ytterligare referenser till externa säkerhetsdatabaser tillgängliga.
- Ytterligare information:
- Versionen av lpr som medföljde Debian GNU/Linux 2.1,
såväl som den uppdaterade versionen i 2.1r4 har två säkerhetsproblem:
- klientens värdnamn kontrollerades inte korrekt, så om någon har
möjlighet att kontrollera DNS-posten för sin IP-adress kan han lura lpr till
att tillåta åtkomst.
- det var möjligt att ange extra parametrar till sendmail, vilket kunde
användas för att ange en alternativ konfigurationsfil.
Detta kan användas för att få rootbehörighet.
Båda dessa problem har rättats i 0.48-0.slink1.
Vi rekommenderar att du uppgraderar ditt lpr-paket omedelbart.
- Rättat i:
-
- Källkod:
- http://security.debian.org/dists/stable/updates/source/lpr_0.48-0.slink1.diff.gz
- http://security.debian.org/dists/stable/updates/source/lpr_0.48-0.slink1.dsc
- http://security.debian.org/dists/stable/updates/source/lpr_0.48.orig.tar.gz
- alpha:
- http://security.debian.org/dists/stable/updates/binary-alpha/lpr_0.48-0.slink1_alpha.deb
- i386:
- http://security.debian.org/dists/stable/updates/binary-i386/lpr_0.48-0.slink1_i386.deb
- m68k:
- http://security.debian.org/dists/stable/updates/binary-m68k/lpr_0.48-0.slink1_m68k.deb
- sparc:
- http://security.debian.org/dists/stable/updates/binary-sparc/lpr_0.48-0.slink1_sparc.deb