Bulletin d'alerte Debian

rpc.statd -- Exploitation de root à distance

Date du rapport :
15 juillet 2000
Paquets concernés :
nfs-common
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2000-0666.
Plus de précisions :
La version de nfs-common distribuée dans Debian GNU/Linux 2.2 (Potato) qui n'est pas encore officiellement publiée, comme dans la distribution instable (Woody) est vulnérable une compromission distante de root. Aucune exploitation n'a été à ce jour révélée au public mais la vulnérabilité est cependant bien réelle. Debian 2.1 (Slink) n'inclut pas rpc.statd et n'est pas vulnérable à cette faille.

Ce problème a été résolu dans la version 0.1.9.1-1 du paquet nfs-common. Nous vous recommandons la mise à jour immédiate du paquet nfs-common si vous êtes un utilisateur de la Debian 2.2.

Corrigé dans :

Debian 2.2 (potato):

Source :
http://http.us.debian.org/debian/dists/potato/main/source/net/nfs-utils_0.1.9.1-1.tar.gz
http://http.us.debian.org/debian/dists/potato/main/source/net/nfs-utils_0.1.9.1-1.dsc
alpha:
http://http.us.debian.org/debian/dists/potato/main/binary-alpha/net/nfs-common_0.1.9.1-1.deb
i386:
http://http.us.debian.org/debian/dists/potato/main/binary-i386/net/nfs-common_0.1.9.1-1.deb
powerpc:
http://http.us.debian.org/debian/dists/potato/main/binary-powerpc/net/nfs-common_0.1.9.1-1.deb