Säkerhetsbulletin från Debian
DSA-428-1 slocate -- buffertspill
- Rapporterat den:
- 2004-01-20
- Berörda paket:
- slocate
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 8780.
I Mitres CVE-förteckning: CVE-2003-0848.
CERTs information om sårbarheter, bulletiner och incidenter: VU#441956. - Ytterligare information:
-
En sårbarhet upptäcktes i slocate, ett program för att indexera och söka efter filer, med vilken en specialskriven databas kunde spilla en heapbaserad buffert. Sårbarheten kunde utnyttjas av en lokal användare för att få tillgång till privilegierna hos användaren ”slocate”, som kan läsa den globala databasen med en förteckning över sökväg till alla filer på systemet, även de som endast skulle se av privilegierade användare.
Detta problem, och en kategori potentiellt liknande problem, har rättats genom att modifiera slocate så att den släpper privilegier innan den läser en databas som angetts av användaren.
För den nuvarande stabila utgåvan (Woody) har detta problem rättats i version 2.6-1.3.2.
För den instabila utgåvan (Sid) kommer detta problem rättas inom kort. Se Debians felrapport 226103 för statusinformation.
Vi rekommenderar att ni uppgraderar ert slocate-paket.
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2.dsc
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2.diff.gz
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/slocate/slocate_2.6-1.3.2_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.