Aviso de seguridad de Debian
DSA-024-1 cron -- gestión de crontab local insegura
- Fecha del informe:
- 27 de ene de 2001
- Paquetes afectados:
-
cron
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 2332.
En el diccionario CVE de Mitre: CVE-2001-0235.
- Información adicional:
- El equipo de FreeBSD ha encontrado un error en la forma
en la que los nuevos crontas eran gestionados que permitía a los usuarios
malvados mostrar archivos crontab arbitrarios en el sistema local. Esto sólo
afecta a archivos crontab válidos así que no podía ser usado para tener acceso
a /etc/shadows o similar. Los archivos crontab no son especialmente seguros de
ninguna forma, así que hay otras formas en las que puede haber escapes.
Ninguna contraseña o dato similar debería estar allí. Le recomendamos que
actualice sus paquetes cron.
- Arreglado en:
-
Debian 2.2 (potato)
- Fuentes:
-
http://security.debian.org/dists/stable/updates/main/source/cron_3.0pl1.orig.tar.gz
-
http://security.debian.org/dists/stable/updates/main/source/cron_3.0pl1-57.2.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/cron_3.0pl1-57.2.dsc
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/cron_3.0pl1-57.2_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/cron_3.0pl1-57.2_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/cron_3.0pl1-57.2_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/cron_3.0pl1-57.2_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/cron_3.0pl1-57.2_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/cron_3.0pl1-57.2_sparc.deb
