Alerta de Segurança Debian
DSA-310-1 xaos -- execução setuid-root inadequada
- Data do Alerta:
- 08 Jun 2003
- Pacotes Afetados:
- xaos
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 7838.
No dicionário CVE do Mitre: CVE-2003-0385. - Informações adicionais:
-
XaoS, um programa de exibição de imagens fractais, é instalado como setuid root em certar arquiteturas para usar a svgalib, que requer acesso ao hardware de vídeo. No entanto, isto não foi desenhado para uma execução setuid segura e pode ser explorado para obter privilégios de root.
Nestes pacotes atualizados, o bit setuid foi removido do binário xaos. Usuários que precisam da funcionalidade da svgalib devem garantir estes privilégios somente a um grupo confiável.
Esta vulnerabilidade é explorada na versão 3.0-18 (potato) nas arquiteturas i386 e alpha e na versão 3.0-23 (woody) somente na arquitetura i386.
Na atual distribuição estável (woody), este problema foi corrigido na versão 3.0-23woody1.
Na antiga distribuição estável (potato), este problema foi corrigido na versão 3.0-18potato1.
Na distribuição instável (sid), este problema foi corrigido na versão 3.1r-4.
Nós recomendamos que você atualize seus pacotes xaos.
- Corrigido em:
-
Debian GNU/Linux 2.2 (potato)
- Fonte:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1.dsc
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1.diff.gz
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_sparc.deb
Debian GNU/Linux 3.0 (woody)
- Fonte:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1.dsc
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1.diff.gz
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_sparc.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.