Säkerhetsbulletin från Debian
DSA-330-1 tcptraceroute -- släpper inte rootprivilegier
- Rapporterat den:
- 2003-06-23
- Berörda paket:
- tcptraceroute
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 8020.
I Mitres CVE-förteckning: CVE-2003-0489. - Ytterligare information:
-
Programmet tcptraceroute körs setuid-root och skall släppa sina rootprivilegier när det fått tag i ett filhandtag att använda för att fånga råa paket. Det släpper dock inte alla privilegier helt, och om en sårbarhet som kunde utnyttjas uppstår kan rootprivilegierna återhämtas.
Inget sätt att utnyttja detta är för närvarande känt, men denna säkerhetsåtgärd repareras för att avskärma programmet utifall att ett fel som kan utnyttjas upptäcks.
För den stabila utgåvan (Woody) har detta problem rättats i version 1.2-2.
Den gamla stabila utgåvan (Potato) innehåller inte något tcptraceroute-paket.
För den instabila utgåvan (Sid) rättas detta problem i version 1.4-4.
Vi rekommenderar att ni uppgraderar ert tcptraceroute-paket.
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2.dsc
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2.diff.gz
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/t/tcptraceroute/tcptraceroute_1.2-2_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.