Aviso de seguridad de Debian

DSA-079-2 uucp -- acceso al uid/gid uucp

Fecha del informe:
8 de feb de 2002
Paquetes afectados:
uucp
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 3312.
En el diccionario CVE de Mitre: CVE-2001-0873.
Información adicional:
zen-parse ha encontrado un problema en Taylor UUCP tal y como se distrbuye con muchas distribuciones de GNU/Linux. Es posible hacer que 'uux' ejecute 'uucp' con argumentos de línea de comando maliciosos, lo que dará a un atacante acceso a los ficheros que posea el uid/gid uucp.

Este problema ha sido reparado en la versión 1.06.1-11potato2 para Debian GNU/Linux 2.2 gracias a un parche ofrecido por Red Hat.

Le recomendamos que actualice su paquete uucp inmediatamente.

Precaución: La suma MD5 de los ficheros .dsc y .diff.gz no concuerdan pues fueron copiados desde la distribución estable. Sin embargo, se ha comprobado que el contenido del fichero .diff.gz es el mismo.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:
http://security.debian.org/dists/stable/updates/main/source/uucp_1.06.1-11potato2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/uucp_1.06.1-11potato2.dsc
http://security.debian.org/dists/stable/updates/main/source/uucp_1.06.1.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/uucp_1.06.1-11potato2_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/uucp_1.06.1-11potato2_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/uucp_1.06.1-11potato2_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/uucp_1.06.1-11potato2_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/uucp_1.06.1-11potato2_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/uucp_1.06.1-11potato2_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.