Bulletin d'alerte Debian

DSA-079-2 uucp -- Accès uid/gid dans uucp

Date du rapport :
8 février 2002
Paquets concernés :
uucp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 3312.
Dans le dictionnaire CVE du Mitre : CVE-2001-0873.
Plus de précisions :

Zenith Parsec a découvert un trou de sécurité dans Taylor UUCP 1.06.1. Il permet à un utilisateur local de copier n'importe quel fichier vers tout répertoire accessible en écriture avec l'uid uucp. Cela signifie que tout utilisateur local peut complètement pervertir le système UUCP, par exemple pour voler des courriels, etc.

Si un utilisateur d'UUCP distant est capable de créer des fichiers sur le disque local, et parvient à deviner certaines choses sur la structure de l'arborescence de fichiers locale, il est alors capable de détourner le système UUCP. L'installation par défaut d'UUCP permet aux utilisateurs distants de créer des fichiers locaux si le répertoire publique UUCP est en écriture pour tout le monde.

Évidement, ce trou de sécurité est très sérieux pour tout système utilisant UUCP sur un système multiutilisateur, ou si les connexions UUCP sont autorisées depuis des machines n'étant pas garanties sûres.

DSA 079-1 portait déjà sur ce problème, mais la solution proposée ne couvraient pas tous les cas. La version 1.06.1-11potato2 d'uucp, qui utilise un correctif de l'auteur Ian Lance Taylor, bouche complètement ce trou de sécurité.

Nous vous recommandons de mettre à jour immédiatement votre paquet uucp.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/dists/stable/updates/main/source/uucp_1.06.1-11potato2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/uucp_1.06.1-11potato2.dsc
http://security.debian.org/dists/stable/updates/main/source/uucp_1.06.1.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/uucp_1.06.1-11potato2_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/uucp_1.06.1-11potato2_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/uucp_1.06.1-11potato2_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/uucp_1.06.1-11potato2_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/uucp_1.06.1-11potato2_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/uucp_1.06.1-11potato2_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.