Bulletin d'alerte Debian

DSA-024-1 cron -- Gestion locale des crontabs peu sécurisée

Date du rapport :

27 janvier 2001

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 2332.
Dans le dictionnaire CVE du Mitre : CVE-2001-0235.

Plus de précisions :

L'équipe de FreeBSD a découvert un bogue dans la manière de gérer les nouvelles tables de planification ou crontab. Elle permet à des utilisateurs malveillants d'afficher n'importe quelle crontab du système local. Ceci ne marche que sur une crontab valide et ne peut pas être utilisé pour visualiser d'autres fichiers comme /etc/shadow. Mais les crontabs ne sont pas très sécurisées vu qu'il existe d'autres méthodes pour les lire. Pas de mot de passe ou autre donnée sensible ne doit être contenu dans ces fichiers. Nous vous recommandons de mettre à jour vos paquets cron immédiatement.

Corrigé dans :

Debian 2.2 (potato)

Source :: http://security.debian.org/dists/stable/updates/main/source/cron_3.0pl1.orig.tar.gz; http://security.debian.org/dists/stable/updates/main/source/cron_3.0pl1-57.2.diff.gz; http://security.debian.org/dists/stable/updates/main/source/cron_3.0pl1-57.2.dsc
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/cron_3.0pl1-57.2_alpha.deb
arm:: http://security.debian.org/dists/stable/updates/main/binary-arm/cron_3.0pl1-57.2_arm.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/cron_3.0pl1-57.2_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/cron_3.0pl1-57.2_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/cron_3.0pl1-57.2_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/cron_3.0pl1-57.2_sparc.deb