Aviso de seguridad de Debian
DSA-063-1 xinetd -- cambio de la máscara de usuario por defecto
- Fecha del informe:
- 17 de jun de 2001
- Paquetes afectados:
- xinetd
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 2826, Id. en BugTraq 2840.
En el diccionario CVE de Mitre: CVE-2001-1322, CVE-2001-0763. - Información adicional:
-
zen-parse informó en bugtraq de que hay un posible desbordamiento de búfer en
el código de entrada de xinetd. Esto puede ser disparado usando un indentd
falso que devuelva respuestas especiales cuando xinetd hace una petición
ident.
Otro problema es que xinetd pone la máscara de usario (umask) a 0. Como resultado de esto, cualquier programa que inicie xinetd y que no esté bien controlado creará archivos escribibles por todo el mundo.
Ambos problemas han sido arreglados en la versión 2.1.8.8.p3-1.1.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3-1.1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3-1.1.dsc
- http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3-1.1.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/xinetd_2.1.8.8.p3-1.1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/xinetd_2.1.8.8.p3-1.1_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/xinetd_2.1.8.8.p3-1.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/xinetd_2.1.8.8.p3-1.1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/xinetd_2.1.8.8.p3-1.1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/xinetd_2.1.8.8.p3-1.1_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.