Debians sikkerhedsbulletin
DSA-330-1 tcptraceroute -- manglende bortkastning af root-rettigheder
- Rapporteret den:
- 23. jun 2003
- Berørte pakker:
- tcptraceroute
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 8020.
I Mitres CVE-ordbog: CVE-2003-0489. - Yderligere oplysninger:
-
tcptraceroute er et setuid-root-program der smider root-rettighederne væk efter at have hentet en fil-descriptor, som anvendes ved opsamling af rå pakker. Dog fik programmet ikke afgivet alle rettigheder og ved en sårbarhed der kan udnyttes, kunne root-rettighederne opnås igen.
Der er pt. ingen kendt udnyttelse, men med denne sikkerhedsforanstaltning lukkes hullet for at undgå problemer, hvis der på et tidspunkt opdages en fejl, der kunne have udnyttet sårbarheden.
I den stabile distribution (woody) er dette problem rettet i version 1.2-2.
Den gamle stabile distribution (potato) indeholder ikke pakken tcptraceroute.
I den ustabile distribution (sid) er dette problem rettet i version 1.4-4.
Vi anbefaler at du opdaterer din tcptraceroute-pakke.
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2.dsc
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2.diff.gz
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.