Debianin tietoturvatiedote

DSA-079-2 uucp -- uucp:n uid/gid-oikeudet

Ilmoitettu:
8. 2.2002
Vaikutuksen alaiset paketit:
uucp
Altis:
Kyllä
Viittaukset tietoturvatietokantoihin:
Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 3312.
Mitren CVE-sanakirjassa: CVE-2001-0873.
Lisätietoa:

Zenith Parsec on löytänyt tietoturvareiän Taylor UUCP:n versiossa 1.06.1. Reiän vuoksi paikallinen käyttäjä voi kopioida tiedostoja minne tahansa, missä uucp-tunnuksella on kirjoitusoikeudet. Käytännössä tämä tarkoittaa, että paikallinen käyttäjä voi täysin hallita UUCP-alijärjestelmää, sisältäen meilien varastamisen jne.

Jos etäkäyttäjä, jolla on UUCP-oikeudet, voi luoda tiedostoja paikalliseen järjestelmään, ja onnistuu arvaamaan muutamia asioita paikallisesta hakemistorakenteesta, hän voi myös hallita UUCP-järjestelmää. UUCP:n oletusasennus sallii etäkäyttäjien luoda tiedostoja paikalliseen järjestelmään jos julkinen UUCP-hakemisto on luotu ja siellä on kaikilla kirjoitusoikeus.

Selvästi tämä reikä on vakava kaikille, jotka käyttävät UUCP:tä monikäyttäjäympäristössä, jossa on epäluotettavia käyttäjiä, tai kaikille, jotka käyttävät UUCP:tä ja sallivat yhteydet epäluotettavista etäjärjestelmistä.

Aluksi luultiin, että tämä ongelma oli korjattu DSA 079-1:ssä, mutta se ei korjannutkaan kaikkia ongelman osia. Ongelma on korjattu uucp:n versiossa 1.06.1-11potato2, joka käyttää päivitystä alkuperäiseltä tekijältä Ian Lance Taylorilta.

Suosittelemme päivittämään uucp-pakettisi välittömästi.

Korjattu:

Debian GNU/Linux 2.2 (potato)

Lähde:
http://security.debian.org/dists/stable/updates/main/source/uucp_1.06.1-11potato2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/uucp_1.06.1-11potato2.dsc
http://security.debian.org/dists/stable/updates/main/source/uucp_1.06.1.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/uucp_1.06.1-11potato2_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/uucp_1.06.1-11potato2_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/uucp_1.06.1-11potato2_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/uucp_1.06.1-11potato2_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/uucp_1.06.1-11potato2_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/uucp_1.06.1-11potato2_sparc.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.