Debian セキュリティ勧告
DSA-063-1 xinetd -- change default umask
- 報告日時:
- 2001-06-17
- 影響を受けるパッケージ:
- xinetd
- 危険性:
- あり
- 参考セキュリティデータベース:
- (SecurityFocus の) Bugtraq データベース: BugTraq ID 2826, BugTraq ID 2840.
Mitre の CVE 辞書: CVE-2001-1322, CVE-2001-0763. - 詳細:
-
zen-parse さんにより、xinetd
のロギングコードにバッファオーバフローの可能性があることが
bugtraq で指摘されました。
この弱点は xinetd から ident 要求がなされた際に特殊な応答を返すようにした偽の
identd を使うことで攻撃することができます。
もう一点、xinetd は umask を 0 に設定しているという問題があります。 この結果、xinetd が開始したプログラムでファイル権限に注意を払って作られていないものは誰からでも書き込み可能なファイルを作成してしまいます。
どちらの問題もバージョン 2.1.8.8.p3-1.1 で修正されています。
- 修正:
-
Debian GNU/Linux 2.2 (potato)
- ソース:
- http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3-1.1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3-1.1.dsc
- http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3-1.1.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/xinetd_2.1.8.8.p3-1.1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/xinetd_2.1.8.8.p3-1.1_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/xinetd_2.1.8.8.p3-1.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/xinetd_2.1.8.8.p3-1.1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/xinetd_2.1.8.8.p3-1.1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/xinetd_2.1.8.8.p3-1.1_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。