Aviso de seguridad de Debian
DSA-219-1 dhcpcd -- ejecución remota de comando
- Fecha del informe:
- 31 de dic de 2002
- Paquetes afectados:
- dhcpcd
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 6200.
En el diccionario CVE de Mitre: CVE-2002-1403. - Información adicional:
-
Simon Kelly descubrió una vulnerabilidad en dhcpcd, un demonio cliente de DHCP conforme a RFC2131 y RFC1541, que corre con privilegios de root en máquinas cliente. Un administrador malicioso del servidor DHCP regular o no fiable podría ejecutar cualquier comando con privilegios de root en la máquina cliente de DHCP, mandando el comando encerrado entre metacaracteres del shell en alguna de las opciones proporcionadas al servidor DHCP.
Este problema se ha corregido en la versión 1.3.17pl2-8.1 para la distribución estable anterior (potato) y en la versión 1.3.22pl2-2 para las distribuciones testing (sarge) e inestable (sid). La distribución estable actual (woody) no contiene el paquete dhcpcd.
Le recomendamos que actualice el paquete dhcpcd (en la máquina cliente).
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1.dsc
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1.diff.gz
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.