Säkerhetsbulletin från Debian

DSA-969-1 scponly -- formgivningsfel

Rapporterat den:
2006-02-13
Berörda paket:
scponly
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 344418.
I Mitres CVE-förteckning: CVE-2005-4532, CVE-2005-4533.
Ytterligare information:

Max Vozeler upptäckte en sårbarhet i scponly, ett verktyg för att begränsa användarkommandon till scp och sftp, vilket kunde leda till exekvering av godtyckliga kommandon som root. Systemet är endast sårbart om programmet scponlyc installerats setuid root och om vanliga användare har skalkonto på maskinen.

Den gamla stabila utgåvan (Woody) innehåller inte paketet scponly.

För den stabila utgåvan (Sarge) har detta problem rättats i version 4.0-1sarge1.

För den instabila utgåvan (Sid) har detta problem rättats i version 4.6-1.

Vi rekommenderar att ni uppgraderar ert scponly-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1.dsc
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1.diff.gz
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/scponly/scponly_4.0-1sarge1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.