Bulletin d'alerte Debian
DSA-310-1 xaos -- Exécution anormale en tant que root
- Date du rapport :
- 8 juin 2003
- Paquets concernés :
- xaos
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 7838.
Dans le dictionnaire CVE du Mitre : CVE-2003-0385. - Plus de précisions :
-
XaoS, un programme pour afficher des images fractales, est installé avec les droits de root sur certaines architectures pour utiliser svgalib, qui demande un accès privilégié au matériel vidéo. Cependant, il n'est pas conçu pour une exécution sécurisée et peut être exploité pour obtenir les privilèges de root.
Dans ces paquets mis à jour, le bit setuid a été enlevé du binaire xaos. Les utilisateurs qui ont besoin de la fonctionnalité de la svgalib devront donner ces privilèges seulement à un certain groupe de confiance.
Cette faille de sécurité est exploitable dans la version 3.0-18 (Potato) sur les architectures i386 et alpha, et dans la version 3.0-23 (Woody) sur l'architecture i386 seulement.
Pour la distribution stable (Woody), ce problème a été corrigé dans la version 3.0-23woody1.
Pour l'ancienne distribution stable (Potato), ce problème a été corrigé dans la version 3.0-18potato1.
Pour la distribution instable (Sid), ce problème a été corrigé dans la version 3.1r-4.
Nous vous recommandons de mettre à jour votre paquet xaos.
- Corrigé dans :
-
Debian GNU/Linux 2.2 (potato)
- Source :
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1.dsc
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1.diff.gz
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_sparc.deb
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1.dsc
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1.diff.gz
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.