Debian-Sicherheitsankündigung
DSA-024-1 cron -- Lokale unsichere crontab-Behandlung
- Datum des Berichts:
- 27. Jan 2001
- Betroffene Pakete:
-
cron
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 2332.
In Mitres CVE-Verzeichnis: CVE-2001-0235.
- Weitere Informationen:
- Das FreeBSD-Team hat einen Fehler in der Art gefunden,
wie neue Crontabs behandelt werden, der es böswilligen Benutzern erlaubt,
beliebige crontab-Dateien auf dem lokalen System anzuzeigen. Das betrifft nur
gültige crontab-Dateien, daher kann es nicht dazu verwendet werden, Zugriff
auf /etc/shadow oder Ähnliches zu erlangen. crontab-Dateien sind sowieso nicht
speziell gesichert, da es auch andere Wege gibt, auf denen Sie blank liegen.
Keine Passwörter oder ähnlich sensible Daten sollten darin gespeichert werden.
Wir empfehlen Ihnen, Ihre cron-Pakete zu aktualisieren.
- Behoben in:
-
Debian 2.2 (potato)
- Quellcode:
-
http://security.debian.org/dists/stable/updates/main/source/cron_3.0pl1.orig.tar.gz
-
http://security.debian.org/dists/stable/updates/main/source/cron_3.0pl1-57.2.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/cron_3.0pl1-57.2.dsc
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/cron_3.0pl1-57.2_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/cron_3.0pl1-57.2_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/cron_3.0pl1-57.2_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/cron_3.0pl1-57.2_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/cron_3.0pl1-57.2_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/cron_3.0pl1-57.2_sparc.deb
