Debianin tietoturvatiedote

DSA-219-1 dhcpcd -- etäkomennon suorittaminen

Ilmoitettu:
31.12.2002
Vaikutuksen alaiset paketit:
dhcpcd
Altis:
Kyllä
Viittaukset tietoturvatietokantoihin:
Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 6200.
Mitren CVE-sanakirjassa: CVE-2002-1403.
Lisätietoa:

Simon Kelly havaitsi haavoittuvuuden dhcpcd:ssä, RFC2131- ja RFC1541-mukaisessa DHCP-asiakastaustasovelluksessa, jota ajetaan root-oikeuksilla asiakaskoneilla. Pahantahtoinen, normaalin tai ei-luotetun, DHCP-palvelimen ylläpitäjä voi suorittaa root-oikeuksilla mielivaltaisia komentoja DHCP-asiakaskoneella lähettämällä komennon komentotulkin metamerkin oheen liitettynä jollakin DHCP-palvelimen mahdollistamalla valitsimella.

Ongelma on korjattu aiemman vakaan jakelun (potato) versiossa 1.3.17pl2-8.1 sekä testattavan (sarge) ja epävakaan (sid) jakelun versiossa 1.3.22pl2-2 . Nykyinen vakaa jakelu (woody) ei sisällä dhcpcd-pakettia.

Suosittelemme päivittämään dhcpcd-paketin (asiakaskoneella).

Korjattu:

Debian GNU/Linux 2.2 (potato)

Lähde:
http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1.dsc
http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1.diff.gz
http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_sparc.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.