Debians sikkerhedsbulletin
DSA-428-1 slocate -- bufferoverløb
- Rapporteret den:
- 20. jan 2004
- Berørte pakker:
- slocate
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 8780.
I Mitres CVE-ordbog: CVE-2003-0848.
CERTs noter om sårbarheder, bulletiner og hændelser: VU#441956. - Yderligere oplysninger:
-
Der er opdaget en sårbarhed i slocate, et program til indeksering af og søgning efter filer, hvor en særligt fremstillet database kunne få en stakbaseret buffer til at løbe over. Denne sårbarhed kunne udnyttes af en lokal angriber til at opnå rettighederne hørende til gruppen "slocate", som har adgang til den globale database indeholdende en liste over stinavne over alle filer på systemet, deriblandt filer som kun bør være synlige for priviligerede brugere.
Dette problem og et antal tilsvarende potentielle problemer, er blevet rettet ved at ændret slocate så rettighederne smides væk før en brugerleveret database læses.
I den nuværende stabile distribution (woody) er dette problem rettet i version 2.6-1.3.2.
I den ustabile distribution (sid) vil dette problem snart blive rettet. Se Debians fejl nummer 226103 for statusoplysninger.
Vi anbefaler at du opdaterer din slocate-pakke.
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2.dsc
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2.diff.gz
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.