Debian-Sicherheitsankündigung
DSA-108-1 wmtv -- Symlink-Verwundbarkeit
- Datum des Berichts:
- 07. Feb 2002
- Betroffene Pakete:
- wmtv
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2002-0247, CVE-2002-0248.
- Weitere Informationen:
-
Nicolas Boullis hat einige Sicherheitsprobleme im wmtv-Paket gefunden (einem koppelbaren video4linux TV-Spieler für WindowMaker), der mit Debian GNU/Linux 2.2 vertrieben wird. In der aktuellen Version von wmtv wird die Konfigurationsdatei ohne zusätzliche Überprüfungen als Superuser zurückgeschrieben. Ein bösartiger Benutzer könnte das dazu verwenden, wichtige Dateien zu überschreiben.
Dieses Problem wurde in der Version 0.6.5-2potato2 für die stabile Distribution behoben, indem Privilegien abgegeben werden, sobald es möglich ist, und nur dann wiedererlangt werden, wenn es unbedingt erforderlich ist. In der aktuellen testing/unstable-Distribution ist das Problem in der Version 0.6.5-9 und neuer behoben, da dort keine Privilegien mehr benötigt werden. Beide Versionen enthalten zusätzliche Korrekturen für zwei weitere potenzielle Pufferüberläufe.
Wir empfehlen Ihnen, dass Sie Ihre wmtv-Pakete unverzüglich aktualisieren.
- Behoben in:
-
Debian GNU/Linux 2.2 (potato)
- Quellcode:
- http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5-2potato2.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5-2potato2.dsc
- http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5-2potato2.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/wmtv_0.6.5-2potato2_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/wmtv_0.6.5-2potato2_arm.deb
- Intel ia32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/wmtv_0.6.5-2potato2_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/wmtv_0.6.5-2potato2_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/wmtv_0.6.5-2potato2_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/wmtv_0.6.5-2potato2_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.