Рекомендация Debian по безопасности

DSA-063-1 xinetd -- изменение umask по умолчанию

Дата сообщения:

17.06.2001

Затронутые пакеты:

Уязвим:

Да

Ссылки на базы данных по безопасности:

В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 2826, Идентификатор BugTraq 2840.
В каталоге Mitre CVE: CVE-2001-1322, CVE-2001-0763.

Более подробная информация:

zen-parse сообщил через bugtraq о возможном переполнении буфера в коде журналирования в xinetd. Уязвимость может возникнуть при использовании поддельной службы identd, которая возвращает специальные ответы в то время, как xinetd выполняет ident запрос.

Другая проблема состоит в том, что xinetd устанавливает umask в значение 0. В результате любая программа, запущенная xinetd и не следящая за правами доступа к файлам, создаёт файлы, доступны для записи любому пользователю.

Обе проблемы были исправлены в версии 2.1.8.8.p3-1.1.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:: http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3-1.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3-1.1.dsc; http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/xinetd_2.1.8.8.p3-1.1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/xinetd_2.1.8.8.p3-1.1_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/xinetd_2.1.8.8.p3-1.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/xinetd_2.1.8.8.p3-1.1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/xinetd_2.1.8.8.p3-1.1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/xinetd_2.1.8.8.p3-1.1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.