Aviso de seguridad de Debian

DSA-063-1 xinetd -- cambio de la máscara de usuario por defecto

Fecha del informe:

17 de jun de 2001

Paquetes afectados:

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 2826, Id. en BugTraq 2840.
En el diccionario CVE de Mitre: CVE-2001-1322, CVE-2001-0763.

Información adicional:

zen-parse informó en bugtraq de que hay un posible desbordamiento de búfer en el código de entrada de xinetd. Esto puede ser disparado usando un indentd falso que devuelva respuestas especiales cuando xinetd hace una petición ident.

Otro problema es que xinetd pone la máscara de usario (umask) a 0. Como resultado de esto, cualquier programa que inicie xinetd y que no esté bien controlado creará archivos escribibles por todo el mundo.

Ambos problemas han sido arreglados en la versión 2.1.8.8.p3-1.1.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:: http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3-1.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3-1.1.dsc; http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/xinetd_2.1.8.8.p3-1.1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/xinetd_2.1.8.8.p3-1.1_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/xinetd_2.1.8.8.p3-1.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/xinetd_2.1.8.8.p3-1.1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/xinetd_2.1.8.8.p3-1.1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/xinetd_2.1.8.8.p3-1.1_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.