Bulletin d'alerte Debian

DSA-059-1 man-db -- Attaque par lien symbolique

Date du rapport :
12 juin 2001
Paquets concernés :
man-db
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 2720, Identifiant BugTraq 2815.
Dans le dictionnaire CVE du Mitre : CVE-2001-1331.
Plus de précisions :
Luki R. a rapporté un bogue dans man-db : il ne gérait pas les appels internes de drop_effective_privs() et regain_effective_privs() correctement ce qui redonnait les privilèges trop tôt. Ceci pouvait être abusé pour faire créer fichiers à man.

Ceci a été corrigé dans la version 2.3.16-4 et nous vous recommandons de mettre à jour votre paquet man-db immédiatement. Si vous utilisez suidmanager, vous pouvez aussi l'utiliser pour vous assurer que man et mandb ne sont pas installés avec des droits supplémentaires vous protégeant de ce problème. Ceci peut être fait avec les commandes suivantes :

   suidregister /usr/lib/man-db/man root root 0755
   suidregister /usr/lib/man-db/mandb root root 0755

Bien sûr, même avec l'utilisation de suidmanager, une mise à jour est toujours fortement recommandée.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/dists/stable/updates/main/source/man-db_2.3.16-4.dsc
http://security.debian.org/dists/stable/updates/main/source/man-db_2.3.16-4.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/man-db_2.3.16-4_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/man-db_2.3.16-4_arm.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/man-db_2.3.16-4_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/man-db_2.3.16-4_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/man-db_2.3.16-4_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/man-db_2.3.16-4_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.