Säkerhetsbulletin från Debian

lpr -- åtkomstproblem och möjlighet att få rootbehörighet

Rapporterat den:
2000-01-09
Berörda paket:
lpr
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
För närvarande är inga ytterligare referenser till externa säkerhetsdatabaser tillgängliga.
Ytterligare information:
Versionen av lpr som medföljde Debian GNU/Linux 2.1, såväl som den uppdaterade versionen i 2.1r4 har två säkerhetsproblem:
  • klientens värdnamn kontrollerades inte korrekt, så om någon har möjlighet att kontrollera DNS-posten för sin IP-adress kan han lura lpr till att tillåta åtkomst.
  • det var möjligt att ange extra parametrar till sendmail, vilket kunde användas för att ange en alternativ konfigurationsfil. Detta kan användas för att få rootbehörighet.
Båda dessa problem har rättats i 0.48-0.slink1. Vi rekommenderar att du uppgraderar ditt lpr-paket omedelbart.
Rättat i:
Källkod:
http://security.debian.org/dists/stable/updates/source/lpr_0.48-0.slink1.diff.gz
http://security.debian.org/dists/stable/updates/source/lpr_0.48-0.slink1.dsc
http://security.debian.org/dists/stable/updates/source/lpr_0.48.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/binary-alpha/lpr_0.48-0.slink1_alpha.deb
i386:
http://security.debian.org/dists/stable/updates/binary-i386/lpr_0.48-0.slink1_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/binary-m68k/lpr_0.48-0.slink1_m68k.deb
sparc:
http://security.debian.org/dists/stable/updates/binary-sparc/lpr_0.48-0.slink1_sparc.deb