Informations de sécurité / 2000 / Informations sur la sécurité -- modutils

Bulletin d'alerte Debian

modutils -- Exploitation locale

Date du rapport :

20 novembre 2000

Paquets concernés :

modutils

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2000-1095.

Plus de précisions :

Sebastian Krahmer a trouvé un problème dans l'utilitaire modprobe qui peut être exploité par les utilisateurs locaux pour exécuter des commandes arbitraires en tant que root si la machine utilise un noyau avec kmod activé.

Le composant kmod autorise le noyau à charger dynamiquement les modules si la fonctionnalité requise n'est pas présente dans le noyau. Cela est rendu possible par la commande modprobe avec le module requis passé en paramètre. Ce paramètre peut être influencé par les utilisateurs en ouvrant par exemple un fichier inexistant sur le système de fichiers devfs ou en essayant d'accéder à une interface réseau non existante. Puisque modprobe n'échappe pas correctement les métacaractères lorsqu'il appelle des commandes externes ou qu'il vérifie si le dernier paramètre est une option au lieu d'un nom de module, les utilisateurs peuvent forcer l'exécution de commandes arbitraires.

Ce problème a été corrigé dans la version 2.3.11-12 et nous vous recommandons la mise à jour immédiate de votre paquet modutils.

Corrigé dans :

Debian 2.2 (potato)

Source :

http://security.debian.org/dists/stable/updates/main/source/modutils_2.3.11-12.diff.gz

http://security.debian.org/dists/stable/updates/main/source/modutils_2.3.11-12.dsc

http://security.debian.org/dists/stable/updates/main/source/modutils_2.3.11.orig.tar.gz

alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/modutils_2.3.11-12_alpha.deb

arm:

http://security.debian.org/dists/stable/updates/main/binary-arm/modutils_2.3.11-12_arm.deb

i386:

http://security.debian.org/dists/stable/updates/main/binary-i386/modutils_2.3.11-12_i386.deb

m68k:

http://security.debian.org/dists/stable/updates/main/binary-m68k/modutils_2.3.11-12_m68k.deb

powerpc:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/modutils_2.3.11-12_powerpc.deb

sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/modutils_2.3.11-12_sparc.deb