Debianin tietoturvatiedote
DSA-219-1 dhcpcd -- etäkomennon suorittaminen
- Ilmoitettu:
- 31.12.2002
- Vaikutuksen alaiset paketit:
- dhcpcd
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 6200.
Mitren CVE-sanakirjassa: CVE-2002-1403. - Lisätietoa:
-
Simon Kelly havaitsi haavoittuvuuden dhcpcd:ssä, RFC2131- ja RFC1541-mukaisessa DHCP-asiakastaustasovelluksessa, jota ajetaan root-oikeuksilla asiakaskoneilla. Pahantahtoinen, normaalin tai ei-luotetun, DHCP-palvelimen ylläpitäjä voi suorittaa root-oikeuksilla mielivaltaisia komentoja DHCP-asiakaskoneella lähettämällä komennon komentotulkin metamerkin oheen liitettynä jollakin DHCP-palvelimen mahdollistamalla valitsimella.
Ongelma on korjattu aiemman vakaan jakelun (potato) versiossa 1.3.17pl2-8.1 sekä testattavan (sarge) ja epävakaan (sid) jakelun versiossa 1.3.22pl2-2 . Nykyinen vakaa jakelu (woody) ei sisällä dhcpcd-pakettia.
Suosittelemme päivittämään dhcpcd-paketin (asiakaskoneella).
- Korjattu:
-
Debian GNU/Linux 2.2 (potato)
- Lähde:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1.dsc
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1.diff.gz
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_sparc.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.