Alerta de Segurança Debian

DSA-219-1 dhcpcd -- execução remota de comando

Data do Alerta:

31 Dez 2002

Pacotes Afetados:

dhcpcd

Vulnerável:

Sim

Referência à base de dados de segurança:

Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 6200.
No dicionário CVE do Mitre: CVE-2002-1403.

Informações adicionais:

Simon Kelly descobriu uma vulnerabilidade no dhcpcd, um cliente DHCP complacente com as RFC2131 e RFC1541, que roda com privilégio de root nas máquinas cliente. Um administrados malicioso de um servidor DHCP regular ou não confiável pode executar qualquer comando com privilégio de root na máquina cliente DHCP enviando o comando encoberto em meta-caracteres do shell em uma das opções fornecidas pelo servidor DHCP.

Esse problema foi corrigido na versão 1.3.17pl2-8.1 para a antiga distribuição estável (potato) e na versão 1.3.22pl2-2 para as distribuições testing (sarge) e instável (sid). A atual distribuição estável (woody) não contém o pacote dhcpcd.

Nós recomendamos que você atualize o pacote dhcpcd (na máquina cliente).

Corrigido em:

Debian GNU/Linux 2.2 (potato)

Fonte:: http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1.dsc; http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1.diff.gz; http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/d/dhcpcd/dhcpcd_1.3.17pl2-8.1_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.