Debians sikkerhedsbulletin

DSA-108-1 wmtv -- symlink-sårbarhed

Rapporteret den:
7. feb 2002
Berørte pakker:
wmtv
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2002-0247, CVE-2002-0248.
Yderligere oplysninger:

Nicolas Boullis har fundet nogle sikkerhedsproblemer i pakken wmtv (en dock-bar video4linux-tv-afspiller til WindowMaker) som distribueres i Debian GNU/Linux 2.2. Med den aktuelle version af wmtv, tilbageskrives opsætningsfilen som superbruger, og uden andre kontroller. En ondsindet bruger kan bruge det til at ødelægge vigtige filer.

Dette problem er rettet i version 0.6.5-2potato2 i den stabile distribution, ved at droppe rettigheder så snart som muligt og kun bibeholde dem hvor det er nødvendigt. I den aktuelle test/unstabile distribution er problemet rettet i version 0.6.5-9 og højere ved ikke længere at kræve rettigheder. Begge indeholder desuden rettelser af to potentielle buffer-overløb.

Vi anbefaler at du omgående opgraderer dine wmtv-pakker.

Rettet i:

Debian GNU/Linux 2.2 (potato)

Kildekode:
http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5-2potato2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5-2potato2.dsc
http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/wmtv_0.6.5-2potato2_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/wmtv_0.6.5-2potato2_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/wmtv_0.6.5-2potato2_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/wmtv_0.6.5-2potato2_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/wmtv_0.6.5-2potato2_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/wmtv_0.6.5-2potato2_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.