Debian-Sicherheitsankündigung

DSA-316-1 nethack -- Pufferüberlauf, falsche Zugriffsrechte

Datum des Berichts:

11. Jun 2003

Betroffene Pakete:

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 6806, BugTraq ID 7953.
In Mitres CVE-Verzeichnis: CVE-2003-0358, CVE-2003-0359.

Weitere Informationen:

Die nethack und slashem Pakete sind für einen Pufferüberlaufs-Angriff über eine lange '-s' Befehlszeilen-Option anfällig. Diese Verwundbarkeit könnte von einem Angreifer verwendet werden, um Zugriff auf die Gruppe 'games' auf Systemen zu erhalten, auf denen nethack installiert ist.

Zusätzlich haben einige setgid-Programme im nethack-Paket falsche Zugriffsrechte, die es einem Benutzer erlaubt, der in die Gruppe 'games' kommt, diese Programme zu ersetzen, was möglicherweise dazu führt, dass andere Benutzer böswilligen Code ausführen, wenn sie nethack aufrufen.

Beachten Sie, dass slashem das Dateiberechtigungsproblem CAN-2003-0359 nicht enthält.

Für die stable Distribution (Woody) wurden diese Probleme in Version 3.4.0-3.0woody3 behoben.

Für die alte stable Distribution (Potato) wurden diese Probleme in Version 3.3.0-7potato1 behoben.

Für die unstable Distribution (Sid) wurden diese Probleme in Version 3.4.1-1 behoben.

Wir empfehlen Ihnen, Ihr nethack-Paket zu aktualisieren.

Für die stable Distribution (Woody) wurden diese Probleme in Version 0.0.6E4F8-4.0woody3 behoben.

Für die alte stable Distribution (Potato) wurden diese Probleme in Version 0.0.5E7-3potato1 behoben.

Für die unstable Distribution (Sid) wurden diese Probleme in Version 0.0.6E4F8-6 behoben.

Wir empfehlen Ihnen, Ihr slashem-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:: http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1.dsc; http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1.diff.gz; http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1_sparc.deb

Debian GNU/Linux 3.0 (woody)

Quellcode:: http://security.debian.org/pool/updates/main/n/nethack/nethack_3.4.0-3.0woody3.dsc; http://security.debian.org/pool/updates/main/n/nethack/nethack_3.4.0-3.0woody3.diff.gz; http://security.debian.org/pool/updates/main/n/nethack/nethack_3.4.0.orig.tar.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/main/n/nethack/nethack_3.4.0-3.0woody3_all.deb
Alpha:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_alpha.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_alpha.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_alpha.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_arm.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_arm.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_arm.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_i386.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_i386.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_i386.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_i386.deb
HPPA:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_hppa.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_hppa.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_hppa.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_m68k.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_m68k.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_m68k.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_mips.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_mips.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_mips.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_mipsel.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_mipsel.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_mipsel.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_powerpc.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_powerpc.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_powerpc.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_s390.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_s390.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_s390.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_sparc.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_sparc.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_sparc.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.