Säkerhetsbulletin från Debian
DSA-063-1 xinetd -- byt förvald umask
- Rapporterat den:
- 2001-06-17
- Berörda paket:
- xinetd
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 2826, BugTraq-id 2840.
I Mitres CVE-förteckning: CVE-2001-1322, CVE-2001-0763. - Ytterligare information:
-
Zen-parse rapporterade på bugtraq att det finns ett möjligt buffertspill
i loggningskoden i xinetd.
Denna kunde utlösas genom att använda en fejkad identd som returnerar
speciella svar när xinetd sänder en ident-förfrågan.
Ytterligare ett problem är att xinetd sätter sin umask till 0, vilket får till följd att program som startas av xinetd och som inte är försiktiga med filbehörigheter kommer att skapa filer skrivbara av alla.
Båda problemen har rättats i version 2.1.8.8.p3-1.1.
- Rättat i:
-
Debian GNU/Linux 2.2 (potato)
- Källkod:
- http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3-1.1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3-1.1.dsc
- http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/xinetd_2.1.8.8.p3-1.1.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/xinetd_2.1.8.8.p3-1.1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/xinetd_2.1.8.8.p3-1.1_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/xinetd_2.1.8.8.p3-1.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/xinetd_2.1.8.8.p3-1.1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/xinetd_2.1.8.8.p3-1.1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/xinetd_2.1.8.8.p3-1.1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.