Рекомендация Debian по безопасности
DSA-1709-1 shadow -- состояние гонки
- Дата сообщения:
- 21.01.2009
- Затронутые пакеты:
- shadow
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 505271.
В каталоге Mitre CVE: CVE-2008-5394. - Более подробная информация:
-
Пол Сзабо обнаружил, что login, системный инструмент входа, неправильно обрабатывает символические ссылки по время установки прав доступа tty. Если локальный злоумышленник может получить контроль над системным файлом utmp, то он может заставить login изменить владельца и прав доступа произвольных файлов, что приводит к повышению привилегий вплоть до получения прав суперпользователя.
В стабильном выпуске (etch) эта проблема была исправлена в версии 4.0.18.1-7+etch1.
В нестабильном выпуске (sid) эта проблема была исправлена в версии 4.1.1-6.
Рекомендуется обновить пакет shadow.
- Исправлено в:
-
Debian GNU/Linux 4.0 (etch)
- Исходный код:
- http://security.debian.org/pool/updates/main/s/shadow/shadow_4.0.18.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/shadow/shadow_4.0.18.1-7+etch1.diff.gz
- http://security.debian.org/pool/updates/main/s/shadow/shadow_4.0.18.1-7+etch1.dsc
- http://security.debian.org/pool/updates/main/s/shadow/shadow_4.0.18.1-7+etch1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/s/shadow/login_4.0.18.1-7+etch1_alpha.deb
- http://security.debian.org/pool/updates/main/s/shadow/passwd_4.0.18.1-7+etch1_alpha.deb
- http://security.debian.org/pool/updates/main/s/shadow/passwd_4.0.18.1-7+etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/s/shadow/passwd_4.0.18.1-7+etch1_amd64.deb
- http://security.debian.org/pool/updates/main/s/shadow/login_4.0.18.1-7+etch1_amd64.deb
- http://security.debian.org/pool/updates/main/s/shadow/login_4.0.18.1-7+etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/shadow/passwd_4.0.18.1-7+etch1_arm.deb
- http://security.debian.org/pool/updates/main/s/shadow/login_4.0.18.1-7+etch1_arm.deb
- http://security.debian.org/pool/updates/main/s/shadow/login_4.0.18.1-7+etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/s/shadow/passwd_4.0.18.1-7+etch1_hppa.deb
- http://security.debian.org/pool/updates/main/s/shadow/login_4.0.18.1-7+etch1_hppa.deb
- http://security.debian.org/pool/updates/main/s/shadow/login_4.0.18.1-7+etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/shadow/passwd_4.0.18.1-7+etch1_i386.deb
- http://security.debian.org/pool/updates/main/s/shadow/login_4.0.18.1-7+etch1_i386.deb
- http://security.debian.org/pool/updates/main/s/shadow/login_4.0.18.1-7+etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/shadow/passwd_4.0.18.1-7+etch1_ia64.deb
- http://security.debian.org/pool/updates/main/s/shadow/login_4.0.18.1-7+etch1_ia64.deb
- http://security.debian.org/pool/updates/main/s/shadow/login_4.0.18.1-7+etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/s/shadow/login_4.0.18.1-7+etch1_mips.deb
- http://security.debian.org/pool/updates/main/s/shadow/passwd_4.0.18.1-7+etch1_mips.deb
- http://security.debian.org/pool/updates/main/s/shadow/passwd_4.0.18.1-7+etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/s/shadow/passwd_4.0.18.1-7+etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/shadow/login_4.0.18.1-7+etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/shadow/login_4.0.18.1-7+etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/shadow/login_4.0.18.1-7+etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/shadow/passwd_4.0.18.1-7+etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/shadow/passwd_4.0.18.1-7+etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/shadow/passwd_4.0.18.1-7+etch1_s390.deb
- http://security.debian.org/pool/updates/main/s/shadow/login_4.0.18.1-7+etch1_s390.deb
- http://security.debian.org/pool/updates/main/s/shadow/login_4.0.18.1-7+etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/shadow/login_4.0.18.1-7+etch1_sparc.deb
- http://security.debian.org/pool/updates/main/s/shadow/passwd_4.0.18.1-7+etch1_sparc.deb
- http://security.debian.org/pool/updates/main/s/shadow/passwd_4.0.18.1-7+etch1_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.