Debian-Sicherheitsankündigung

DSA-063-1 xinetd -- Änderung der voreingestellten umask

Datum des Berichts:

17. Jun 2001

Betroffene Pakete:

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 2826, BugTraq ID 2840.
In Mitres CVE-Verzeichnis: CVE-2001-1322, CVE-2001-0763.

Weitere Informationen:

zen-parse berichtete auf bugtraq, dass es einen möglichen Pufferüberlauf im Log-Code von xinetd gibt. Dieser kann durch einen gefälschten inetd ausgelöst werden, der spezielle Antworten liefert, wenn xinetd einen ident-Request durchführt.

Ein weiteres Problem besteht darin, dass xinetd die umask auf 0 setzt. Als Resultat davon werden alle Programme, die inetd aufruft, und die nicht vorsichtig mit den Datei-Berechtigungen sind, Dateien anlegen, die welt-beschreibbar sind.

Beide Probleme sind in der Version 2.1.8.8.p3-1.1 behoben.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:: http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3-1.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3-1.1.dsc; http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/xinetd_2.1.8.8.p3-1.1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/xinetd_2.1.8.8.p3-1.1_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/xinetd_2.1.8.8.p3-1.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/xinetd_2.1.8.8.p3-1.1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/xinetd_2.1.8.8.p3-1.1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/xinetd_2.1.8.8.p3-1.1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.