Säkerhetsbulletin från Debian

xlockmore -- möjlig kompromettering av shadow-fil

Rapporterat den:
2000-08-16
Berörda paket:
xlockmore, xlockmore-gl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2000-0763.
Ytterligare information:
Det finns ett formateringssträngsfel i alla versioner av xlockmore/xlockmore-gl. Debian GNU/Linux 2.1 (slink) installerar som standard xlock med setgid-biten satt, och detta kan utnyttjas för att få tillgång till shadowfilen (skugglösenorden). Vi rekommenderar att du uppgraderar omedelbart.

xlockmore installeras normalt om ett oprivilegierat program på Debian GNU/Linux 2.2 (potato) och är inte sårbart i den konfigurationen. xlockmore kan vara setuid/setgid av historiska orsaker, eller efter en uppgradering från en tidigare version av Debian GNU/Linux; se README.Debian i /usr/doc/xlockmore eller /usr/doc/xlockmore-gl för information om xlock-privilegier och hur du deaktiverar dem. Om din lokala miljö kräver att xlock är setgid, eller om du är osäker, bör du uppgradera till ett rättat paket omedelbart.

Rättade paket finns tillgängliga som xlockmore/xlockmore-gl 4.12-5 för Debian GNU/Linux 2.1 (slink) och xlockmore/xlockmore-gl 4.15-9 för Debian GNU/Linux 2.2 (potato).

Rättat i:

Debian GNU/Linux 2.1 (slink):

Källkod:
http://security.debian.org/dists/slink/updates/source/xlockmore_4.12-5.diff.gz
http://security.debian.org/dists/slink/updates/source/xlockmore_4.12-5.dsc
http://security.debian.org/dists/slink/updates/source/xlockmore_4.12.orig.tar.gz
alpha:
http://security.debian.org/dists/slink/updates/binary-alpha/xlockmore-gl_4.12-5_alpha.deb
http://security.debian.org/dists/slink/updates/binary-alpha/xlockmore_4.12-5_alpha.deb
i386:
http://security.debian.org/dists/slink/updates/binary-i386/xlockmore-gl_4.12-5_i386.deb
http://security.debian.org/dists/slink/updates/binary-i386/xlockmore_4.12-5_i386.deb
alpha:
http://security.debian.org/dists/slink/updates/binary-m68k/xlockmore-gl_4.12-5_m68k.deb
http://security.debian.org/dists/slink/updates/binary-m68k/xlockmore_4.12-5_m68k.deb
sparc:
http://security.debian.org/dists/slink/updates/binary-sparc/xlockmore-gl_4.12-5_sparc.deb
http://security.debian.org/dists/slink/updates/binary-sparc/xlockmore_4.12-5_sparc.deb

Debian GNU/Linux 2.2 (potato):

Källkod:
http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15-9.diff.gz
http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15-9.dsc
http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15.orig.tar.gz
alpha:
http://security.debian.org/dists/potato/updates/main/binary-alpha/xlockmore-gl_4.15-9_alpha.deb
http://security.debian.org/dists/potato/updates/main/binary-alpha/xlockmore_4.15-9_alpha.deb
arm:
http://security.debian.org/dists/potato/updates/main/binary-arm/xlockmore-gl_4.15-9_arm.deb
http://security.debian.org/dists/potato/updates/main/binary-arm/xlockmore_4.15-9_arm.deb
i386:
http://security.debian.org/dists/potato/updates/main/binary-i386/xlockmore-gl_4.15-9_i386.deb
http://security.debian.org/dists/potato/updates/main/binary-i386/xlockmore_4.15-9_i386.deb
m68k:
http://security.debian.org/dists/potato/updates/main/binary-m68k/xlockmore-gl_4.15-9_m68k.deb
http://security.debian.org/dists/potato/updates/main/binary-m68k/xlockmore_4.15-9_m68k.deb
sparc:
http://security.debian.org/dists/potato/updates/main/binary-sparc/xlockmore-gl_4.15-9_sparc.deb
http://security.debian.org/dists/potato/updates/main/binary-sparc/xlockmore_4.15-9_sparc.deb
powerpc:
http://security.debian.org/dists/potato/updates/main/binary-powerpc/xlockmore-gl_4.15-9_powerpc.deb
http://security.debian.org/dists/potato/updates/main/binary-powerpc/xlockmore_4.15-9_powerpc.deb