Bulletin d'alerte Debian
DSA-056-1 man-db -- Écrasement de fichier en local
- Date du rapport :
- 8 mai 2001
- Paquets concernés :
- man-db
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 2720.
Dans le dictionnaire CVE du Mitre : CVE-2001-1331. - Plus de précisions :
-
Ethan Benson a trouvé un bogue dans les paquets man-db comme distribués dans
Debian GNU/Linux 2.2. man-db inclut un outil mandb qui est utilisé
pour construire un index des pages de manuel installés sur un système. Quand
les options -u ou -c étaient données par la ligne de commandes pour lui dire
de construire sa base de données à un endroit différent, il échoue à rendre
les privilèges proprement avant de créer un fichier temporaire. Ceci rend
possible pour un attaquant une attaque standard par lien symbolique pour
piéger mandb afin d'écraser tout fichier qui
est accessible en écriture par man, ce qui inclut les binaires
man et mandb.
Ceci a été corrigé dans la version 2.3.16-3 et nous vous recommandons de mettre à jour votre paquet man-db immédiatement. Si vous utilisez suidmanager, vous pouvez aussi l'utiliser pour vous assurer que man et mandb ne sont pas installés avec des droits supplémentaires vous protégeant de ce problème. Ceci peut être fait avec les commandes suivantes :
suidregister /usr/lib/man-db/man root root 0755 suidregister /usr/lib/man-db/mandb root root 0755
Bien sûr, même avec l'utilisation de suidmanager, une mise à jour est toujours fortement recommandée.
- Corrigé dans :
-
Debian GNU/Linux 2.2 (potato)
- Source :
- http://security.debian.org/dists/stable/updates/main/source/man-db_2.3.16-3.dsc
- http://security.debian.org/dists/stable/updates/main/source/man-db_2.3.16-3.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/man-db_2.3.16-3.tar.gz
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/man-db_2.3.16-3_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/man-db_2.3.16-3_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/man-db_2.3.16-3_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/man-db_2.3.16-3_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/man-db_2.3.16-3_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/man-db_2.3.16-3_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.