Säkerhetsbulletin från Debian

xmcd -- opålitliga privilegierade binärer

Rapporterat den:

2000-11-21

Berörda paket:

xmcd, cddb

Sårbara:

Referenser i säkerhetsdatabaser:

För närvarande är inga ytterligare referenser till externa säkerhetsdatabaser tillgängliga.

Ytterligare information:

Debian GNU/Linux' xmcd-paket har historiskt sett installerat två hjälpprogram för att komma åt cddb-databaser och SCSI-cdromdrivrutiner med "setuid"-flaggan satt. Mer nyligen har paketen gett administratören möjligheten att ta bort dessa "setuid"-flaggor, men gjorde så på fel sätt.

Ett buffertspill i ncurses, som länkades in i "cda"-binären, gjorde det möjligt för en rootkomprommetering. Rättade ncursespaket har släppts, såväl som rättade xmcd-paket som inte installerar denna binär med "setuid"-flaggan.

Problemet är rättat i xmcd 2.5pl1-7.1, och vi rekommenderar alla användare som har xmcd installerat att uppgradera till denna utgåva. Du kan behöva lägga xmcd-användare till "audio"- och "cdrom"-grupperna för att de skall kunna fortsätta använda xmcd.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:: http://security.debian.org/dists/potato/updates/main/source/xmcd_2.5pl1-7.1.dsc; http://security.debian.org/dists/potato/updates/main/source/xmcd_2.5pl1-7.1.diff.gz; http://security.debian.org/dists/potato/updates/main/source/xmcd_2.5pl1.orig.tar.gz
Alpha:: http://security.debian.org/dists/potato/updates/main/binary-alpha/cddb_2.5pl1-7.1_alpha.deb; http://security.debian.org/dists/potato/updates/main/binary-alpha/xmcd_2.5pl1-7.1_alpha.deb
ARM:: http://security.debian.org/dists/potato/updates/main/binary-arm/cddb_2.5pl1-7.1_arm.deb; http://security.debian.org/dists/potato/updates/main/binary-arm/xmcd_2.5pl1-7.1_arm.deb
Intel IA32:: http://security.debian.org/dists/potato/updates/main/binary-i386/cddb_2.5pl1-7.1_i386.deb; http://security.debian.org/dists/potato/updates/main/binary-i386/xmcd_2.5pl1-7.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/potato/updates/main/binary-m68k/cddb_2.5pl1-7.1_m68k.deb; http://security.debian.org/dists/potato/updates/main/binary-m68k/xmcd_2.5pl1-7.1_m68k.deb
PowerPC:: http://security.debian.org/dists/potato/updates/main/binary-powerpc/cddb_2.5pl1-7.1_powerpc.deb; http://security.debian.org/dists/potato/updates/main/binary-powerpc/xmcd_2.5pl1-7.1_powerpc.deb
Sun SPARC:: http://security.debian.org/dists/potato/updates/main/binary-sparc/cddb_2.5pl1-7.1_sparc.deb; http://security.debian.org/dists/potato/updates/main/binary-sparc/xmcd_2.5pl1-7.1_sparc.deb