Informations de sécurité / Annonces de sécurité fin 1997 et début 1998 / Informations sur la sécurité -- svgalib

Bulletin d'alerte Debian

svgalib -- Exploitation locale de root

Date du rapport :

undated

Paquets concernés :

svgalib

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Plus de précisions :

Svgalib ne rendait pas proprement les privilèges de root.

Selon l'annonce de ksrt :
svgalib version 1.2.10 et précédentes ne rendent pas proprement les privilèges et avec l'utilisation des identifiants sauvegardés des utilisateurs, toute application basée sur svgalib peut être vulnérables aux dépassements de tampon (provoquant la réécriture de la pile).

Références :

• Annonce ksrt.001 sur attrition.org ;
• Liste de diffusion de BugTraq - juin 1997 (0128).

Corrigé dans :

Intel - (dans la version 1.1) 1.2.10-5