Debianin tietoturvatiedote

DSA-219-1 dhcpcd -- etäkomennon suorittaminen

Ilmoitettu:

31.12.2002

Vaikutuksen alaiset paketit:

dhcpcd

Altis:

Kyllä

Viittaukset tietoturvatietokantoihin:

Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 6200.
Mitren CVE-sanakirjassa: CVE-2002-1403.

Lisätietoa:

Simon Kelly havaitsi haavoittuvuuden dhcpcd:ssä, RFC2131- ja RFC1541-mukaisessa DHCP-asiakastaustasovelluksessa, jota ajetaan root-oikeuksilla asiakaskoneilla. Pahantahtoinen, normaalin tai ei-luotetun, DHCP-palvelimen ylläpitäjä voi suorittaa root-oikeuksilla mielivaltaisia komentoja DHCP-asiakaskoneella lähettämällä komennon komentotulkin metamerkin oheen liitettynä jollakin DHCP-palvelimen mahdollistamalla valitsimella.

Ongelma on korjattu aiemman vakaan jakelun (potato) versiossa 1.3.17pl2-8.1 sekä testattavan (sarge) ja epävakaan (sid) jakelun versiossa 1.3.22pl2-2 . Nykyinen vakaa jakelu (woody) ei sisällä dhcpcd-pakettia.

Suosittelemme päivittämään dhcpcd-paketin (asiakaskoneella).

Korjattu:

Debian GNU/Linux 2.2 (potato)

Lähde:: http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1.dsc; http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1.diff.gz; http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_sparc.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.