Debian-Sicherheitsankündigung

DSA-059-1 man-db -- Symlink-Angriff

Datum des Berichts:
12. Jun 2001
Betroffene Pakete:
man-db
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 2720, BugTraq ID 2815.
In Mitres CVE-Verzeichnis: CVE-2001-1331.
Weitere Informationen:

Luki R. hat einen Fehler in man-db berichtet: es behandelt verschachtelte Aufrufe von drop_effective_privs() und regain_effective_privs() nicht korrekt, wodurch es Privilegien zu früh wiedererlangen würde. Dies kann dazu missbraucht werden, um Dateien als Benutzer man anzulegen.

Dies wurde in Version 2.3.16-4 behoben und wir empfehlen, dass Sie Ihr man-db-Paket umgehend aktualisieren. Wenn Sie suidmanager verwenden, können Sie dieses ebenfalls benutzen, um sicherzustellen, dass man und mandb nicht suid installiert sind, was Sie vor diesem Problem schützt. Dies wird mit den folgenden Befehlen erreicht:

   suidregister /usr/lib/man-db/man root root 0755
   suidregister /usr/lib/man-db/mandb root root 0755

Natürlich ist ein Upgrade auch dann immer noch empfohlen, wenn Sie suidmanager verwenden.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/dists/stable/updates/main/source/man-db_2.3.16-4.dsc
http://security.debian.org/dists/stable/updates/main/source/man-db_2.3.16-4.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/man-db_2.3.16-4_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/man-db_2.3.16-4_arm.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/man-db_2.3.16-4_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/man-db_2.3.16-4_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/man-db_2.3.16-4_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/man-db_2.3.16-4_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.