Debians sikkerhedsbulletin

DSA-969-1 scponly -- designsfejl

Rapporteret den:
13. feb 2006
Berørte pakker:
scponly
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 344418.
I Mitres CVE-ordbog: CVE-2005-4532, CVE-2005-4533.
Yderligere oplysninger:

Max Vozeler har opdaget en sårbarhed i scponly, et værktøj til begrænsning af brugerkommandoer til scp og sftp, hvilket kunne føre til udførelse af vilkårlige kommandoer som root. Systemet var kun sårbart hvis programmet scponlyc var installeret setuid root og hvis almindelige brugere havde shell-adgang til maskinen.

Den gamle stabile distribution (woody) indeholder ikke en scponly-pakke.

I den stabile distribution (sarge) er dette problem rettet i version 4.0-1sarge1.

I den ustabile distribution (sid) er dette problem rettet i version 4.6-1.

Vi anbefaler at du opgraderer din scponly-pakke.

Rettet i:

Debian GNU/Linux 3.1 (sarge)

Kildekode:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1.dsc
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1.diff.gz
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.