Bulletin d'alerte Debian

DSA-063-1 xinetd -- Changement de l'umask par défaut

Date du rapport :

17 juin 2001

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 2826, Identifiant BugTraq 2840.
Dans le dictionnaire CVE du Mitre : CVE-2001-1322, CVE-2001-0763.

Plus de précisions :

Zen-parse a rapporté sur bugtraq qu'il y a un dépassement possible de tampon dans le code d'identification de xinetd. Ceci pouvait être déclenché en utilisant un identd falsifié qui retourne des réponses spéciales quand xinetd fait une requête ident.

Un autre problème est que xinetd met l'umask à 0. Par conséquent, tout programme que xinetd démarre et qui n'est pas assez regardant quant aux permissions de fichier va créer des fichiers accessibles en écriture pour tout le monde.

Les deux problèmes ont été corrigés dans la version 2.1.8.8.p3-1.1.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :: http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3-1.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3-1.1.dsc; http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/xinetd_2.1.8.8.p3-1.1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/xinetd_2.1.8.8.p3-1.1_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/xinetd_2.1.8.8.p3-1.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/xinetd_2.1.8.8.p3-1.1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/xinetd_2.1.8.8.p3-1.1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/xinetd_2.1.8.8.p3-1.1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.