Säkerhetsinformation / 2000 / Säkerhetsinformation -- modutils

Säkerhetsbulletin från Debian

modutils -- lokalt säkerhetshål

Rapporterat den:

2000-11-20

Berörda paket:

modutils

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2000-1095.

Ytterligare information:

Sebastian Krahmer hittade ett problem i modprobeverktyget som kunde utnyttjas av lokala användare för att köra valfria program som root om maskinen kör en kärna där kmod är aktiverat.

Kärnfunktionen kmod låter kärnan att dynamiskt läsa in kärnmoduler om funktionalitet krävs, och som inte finns i den kärna som körs för tillfället. Den gör så genom att anropa modprobe-kommandot med den efterfrågade modulen som parameter. Denna parameter kan påverkas av användarna, till exempel genom att öppna en för tillfället icke-existerande fil på ett devfs-filsystem, eller genom att försöka komma åt ett icke-existerande nätverksgränssnitt. Eftersom modprobe varken korrekt undertryckte skalets metatecken när externa kommandon kördes eller kontrollerade om det sista argumentet var en flagga istället för ett modulnamn, kan användare få det att köra valfria kommandon.

Detta har rättats i version 2.3.11-12 och vi rekommenderar att du uppgraderar ditt modutils-paket omedelbart.

Rättat i:

Debian 2.2 (potato)

Källkod:

http://security.debian.org/dists/stable/updates/main/source/modutils_2.3.11-12.diff.gz

http://security.debian.org/dists/stable/updates/main/source/modutils_2.3.11-12.dsc

http://security.debian.org/dists/stable/updates/main/source/modutils_2.3.11.orig.tar.gz

alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/modutils_2.3.11-12_alpha.deb

arm:

http://security.debian.org/dists/stable/updates/main/binary-arm/modutils_2.3.11-12_arm.deb

i386:

http://security.debian.org/dists/stable/updates/main/binary-i386/modutils_2.3.11-12_i386.deb

m68k:

http://security.debian.org/dists/stable/updates/main/binary-m68k/modutils_2.3.11-12_m68k.deb

powerpc:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/modutils_2.3.11-12_powerpc.deb

sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/modutils_2.3.11-12_sparc.deb