Aviso de seguridad de Debian

DSA-316-1 nethack -- desbordamiento de búfer, permisos incorrectos

Fecha del informe:

11 de jun de 2003

Paquetes afectados:

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 6806, Id. en BugTraq 7953.
En el diccionario CVE de Mitre: CVE-2003-0358, CVE-2003-0359.

Información adicional:

Los paquetes nethack y slashem son vulnerables a un desbordamiento de búfer que aprovecha una opción «-s» larga en la línea de comando. La vulnerabilidad la podría usar un atacante para obtener acceso al id. del grupo «games» en un sistema con nethack instalado.

Además, algunos binarios con setgid del paquete nethack tenían permisos incorrectos, lo que podía permitir a un usuario obtener acceso al id. del grupo «games» para reemplazar estos binarios, lo que potencialmente podría causar que otros usuarios pudieran ejecutar código malicioso cuando corriera nethack.

Tenga en cuenta que slashem no contiene el problema de permisos de archivo de CAN-2003-0359.

Para la distribución estable (woody), estos problemas se han corregido en la versión 3.4.0-3.0woody3.

Para la distribución estable anterior (potato), estos problemas se han corregido en la versión 3.3.0-7potato1.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 3.4.1-1.

Le recomendamos que actualice el paquete nethack.

Para la distribución estable (woody), estos problemas se han corregido en la versión 0.0.6E4F8-4.0woody3.

Para la distribución estable anterior (potato), estos problemas se han corregido en la versión 0.0.5E7-3potato1.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 0.0.6E4F8-6.

Le recomendamos que actualice el paquete slashem.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:: http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1.dsc; http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1.diff.gz; http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1_sparc.deb

Debian GNU/Linux 3.0 (woody)

Fuentes:: http://security.debian.org/pool/updates/main/n/nethack/nethack_3.4.0-3.0woody3.dsc; http://security.debian.org/pool/updates/main/n/nethack/nethack_3.4.0-3.0woody3.diff.gz; http://security.debian.org/pool/updates/main/n/nethack/nethack_3.4.0.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/pool/updates/main/n/nethack/nethack_3.4.0-3.0woody3_all.deb
Alpha:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_alpha.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_alpha.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_alpha.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_arm.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_arm.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_arm.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_i386.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_i386.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_i386.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_i386.deb
HPPA:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_hppa.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_hppa.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_hppa.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_m68k.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_m68k.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_m68k.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_mips.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_mips.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_mips.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_mipsel.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_mipsel.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_mipsel.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_powerpc.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_powerpc.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_powerpc.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_s390.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_s390.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_s390.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_sparc.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_sparc.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_sparc.deb; http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.