Porada dotycząca bezpieczeństwa Debiana

DSA-431-1 perl -- wypływ informacji

Data Zgłoszenia:
01.02.2004
Narażone Pakiety:
perl
Podatny:
Tak
Odnośniki do baz danych na temat bezpieczeństwa:
Baza danych Bugtraq (SecurityFocus): Nr BugTraq 9543.
W słowniku CVE Mitre-a CVE-2003-0618.
Więcej informacji:

Paul Szabo odkrył kilka podobnych do siebie błędów w suidperl, pomocniczym programie do uruchamiania skryptów perla z prawami setuid. Wykorzystując te błędy, atakujący może zmusić suidperla do pokazania informacji o plikach (takich jak sprawdzenie istnienia danych plików i ich niektórych przywilejów) które nie powinny być dostępne dla nieuprzywilejowanych użytkowników.

W stabilnej dystrybucji (woody) powyższy problem został wyeliminowany w wersji 5.6.1-8.6.

W dystrybucji niestabilnej (sid) powyższy problem będzie poprawiony niedługo. Błędowi przypisano numer #220486.

Zalecamy aktualizację pakietu perl jeśli posiadasz zainstalowany pakiet "perl-suid"

Naprawiony w:

Debian GNU/Linux 3.0 (woody)

Źródło:
http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6.dsc
http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6.diff.gz
http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1.orig.tar.gz
Element niezależny od architektury:
http://security.debian.org/pool/updates/main/p/perl/libcgi-fast-perl_5.6.1-8.6_all.deb
http://security.debian.org/pool/updates/main/p/perl/perl-doc_5.6.1-8.6_all.deb
http://security.debian.org/pool/updates/main/p/perl/perl-modules_5.6.1-8.6_all.deb
Alpha:
http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_alpha.deb
http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_alpha.deb
http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_alpha.deb
http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_alpha.deb
http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_alpha.deb
http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_arm.deb
http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_arm.deb
http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_arm.deb
http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_arm.deb
http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_arm.deb
http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_i386.deb
http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_i386.deb
http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_i386.deb
http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_i386.deb
http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_i386.deb
http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_ia64.deb
http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_ia64.deb
http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_ia64.deb
http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_ia64.deb
http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_ia64.deb
http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_hppa.deb
http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_hppa.deb
http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_hppa.deb
http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_hppa.deb
http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_hppa.deb
http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_m68k.deb
http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_m68k.deb
http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_m68k.deb
http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_m68k.deb
http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_m68k.deb
http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_mips.deb
http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_mips.deb
http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_mips.deb
http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_mips.deb
http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_mips.deb
http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_mipsel.deb
http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_mipsel.deb
http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_mipsel.deb
http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_mipsel.deb
http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_mipsel.deb
http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_powerpc.deb
http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_powerpc.deb
http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_powerpc.deb
http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_powerpc.deb
http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_powerpc.deb
http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_s390.deb
http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_s390.deb
http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_s390.deb
http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_s390.deb
http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_s390.deb
http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/p/perl/libperl-dev_5.6.1-8.6_sparc.deb
http://security.debian.org/pool/updates/main/p/perl/libperl5.6_5.6.1-8.6_sparc.deb
http://security.debian.org/pool/updates/main/p/perl/perl_5.6.1-8.6_sparc.deb
http://security.debian.org/pool/updates/main/p/perl/perl-base_5.6.1-8.6_sparc.deb
http://security.debian.org/pool/updates/main/p/perl/perl-debug_5.6.1-8.6_sparc.deb
http://security.debian.org/pool/updates/main/p/perl/perl-suid_5.6.1-8.6_sparc.deb

Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.

Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.