Debian-Sicherheitsankündigung

DSA-054-1 cron -- Lokaler root-Exploit

Datum des Berichts:
07. Mai 2001
Betroffene Pakete:
cron
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2001-0559.
Weitere Informationen:
Eine vor kurzem (im Herbst 2000) durchgeführte Behebung eines Sicherheitsfehlers in cron führte zu einem neuen Fehler bei der Abgabe von Privilegien vor dem Aufruf des Text-Editors. Das Verhalten wurde von Sebastian Krahmer von SuSE entdeckt. Ein böswilliger Benutzer könnte so leicht root-Rechte erlangen.

Das Problem wurde in Version 3.0pl1-57.3 (bzw. 3.0pl1-67 für unstable) behoben. Bis jetzt sind keine Exploits bekannt, aber wir empfehlen Ihnen ein sofortiges Update Ihrer cron-Pakete.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/dists/stable/updates/main/source/cron_3.0pl1-57.3.diff.gz
http://security.debian.org/dists/stable/updates/main/source/cron_3.0pl1-57.3.dsc
http://security.debian.org/dists/stable/updates/main/source/cron_3.0pl1.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/cron_3.0pl1-57.3_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/cron_3.0pl1-57.3_arm.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/cron_3.0pl1-57.3_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/cron_3.0pl1-57.3_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/cron_3.0pl1-57.3_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/cron_3.0pl1-57.3_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.