Bulletin d'alerte Debian
DSA-428-1 slocate -- Dépassement de tampon
- Date du rapport :
- 20 janvier 2004
- Paquets concernés :
- slocate
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 8780.
Dans le dictionnaire CVE du Mitre : CVE-2003-0848.
Les annonces de vulnérabilité et les bulletins d'alerte du CERT : VU#441956. - Plus de précisions :
-
Une faille de sécurité a été découverte dans slocate, un programme pour indexer et rechercher des fichiers, avec lequel une base de données spécifiquement conçue pouvait faire dépasserdéborder un tas-mémoire. Cette faille de sécurité pouvait être exploitée par un attaquant local pour obtenir les privilèges du groupe slocate, qui donne l'accès vers la base de données globale contenant la liste de tous les chemins de tous les fichiers du système, incluant ceux qui ne devraient être visibles qu'aux utilisateurs privilégiés.
Ce problème et d'autres de même nature ont été corrigés en modifiant slocate pour qu'il rende les privilèges avant de lire une base de données fournie par un utilisateur.
Pour la distribution stable actuelle (Woody), ce problème a été corrigé dans la version 2.6-1.3.2.
Pour la distribution instable (Sid), ce problème sera bientôt corrigé. Allez voir le bogue Debian n°226103 pour connaître son état de correction.
Nous vous recommandons de mettre à jour votre paquet slocate.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2.dsc
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2.diff.gz
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.