Säkerhetsbulletin från Debian

DSA-330-1 tcptraceroute -- släpper inte rootprivilegier

Rapporterat den:
2003-06-23
Berörda paket:
tcptraceroute
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 8020.
I Mitres CVE-förteckning: CVE-2003-0489.
Ytterligare information:

Programmet tcptraceroute körs setuid-root och skall släppa sina rootprivilegier när det fått tag i ett filhandtag att använda för att fånga råa paket. Det släpper dock inte alla privilegier helt, och om en sårbarhet som kunde utnyttjas uppstår kan rootprivilegierna återhämtas.

Inget sätt att utnyttja detta är för närvarande känt, men denna säkerhetsåtgärd repareras för att avskärma programmet utifall att ett fel som kan utnyttjas upptäcks.

För den stabila utgåvan (Woody) har detta problem rättats i version 1.2-2.

Den gamla stabila utgåvan (Potato) innehåller inte något tcptraceroute-paket.

För den instabila utgåvan (Sid) rättas detta problem i version 1.4-4.

Vi rekommenderar att ni uppgraderar ert tcptraceroute-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:
http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2.dsc
http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2.diff.gz
http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.