Debian-Sicherheitsankündigung
dhcp client -- Entfernte root-Ausbeutung in dhcp Client
- Datum des Berichts:
- 28. Jul 2000
- Betroffene Pakete:
- dhcp-client-beta, dhcp-client
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- Im Augenblick ist keine weitere externe Sicherheitsdatenbank-Referenz verfügbar.
- Weitere Informationen:
- Die Versionen des ISC DHCP Client in Debian GNU/Linux 2.1
(Slink) und Debian GNU/Linux 2.2 (Potato) sind für eine root-Ausbeutung
verwundbar. Das OpenBSD-Team berichtet, dass der Client unpassend Befehle
ausführt, die in Antworten eines dhcp-Servers eingebettet sind. Dies bedeutet,
dass ein bösartiger dhcp-Server Befehle auf dem Client mit root-Privilegien
ausführen kann. Ein vorheriges Debian Sicherheitsgutachten sprach dieses
Problem mit den Paket-Versionen 2.0b1pl6-0.3 und 2.0-3potato1 an, aber ISC hat
seit dem ursprünglichen Gutachten einen neueren Patch freigegeben. Sie sollten
die neuesten Pakete installieren, selbst wenn Sie aktualisiert haben, als das
letzte Gutachten veröffentlicht wurde.
Die berichtete Verwundbarkeit ist im Paket dhcp-client-beta 2.0b1pl6-0.4 für das aktuelle stable Release (Debian GNU/Linux 2.1) und in dhcp-client 2.0-3potato2 für das frozen Pre-Release (Debian GNU/Linux 2.2) behoben. Der dhcp-Server und relay-Agent wurden aus den selben Sourcen wie der Client erstellt; jedoch sind Server und Relay-Agents durch dieses Problem nicht verwundbar und müssen nicht aktualisiert werden. Wir empfehlen Ihnen, Ihren dhcp-client-beta und dhcp-client unverzüglich zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 2.1 (slink):
- Quellcode:
- http://security.debian.org/dists/stable/updates/source/dhcp-beta_2.0b1pl6-0.4.diff.gz
- http://security.debian.org/dists/stable/updates/source/dhcp-beta_2.0b1pl6-0.4.dsc
- http://security.debian.org/dists/stable/updates/source/dhcp-beta_2.0b1pl6.orig.tar.gz
- http://security.debian.org/dists/stable/updates/source/dhcp-beta_2.0b1pl6-0.4.dsc
- alpha:
- http://security.debian.org/dists/stable/updates/binary-alpha/dhcp-client-beta_2.0b1pl6-0.4_alpha.deb
- i386:
- http://security.debian.org/dists/stable/updates/binary-i386/dhcp-client-beta_2.0b1pl6-0.4_i386.deb
- m68k:
- http://security.debian.org/dists/stable/updates/binary-m68k/dhcp-client-beta_2.0b1pl6-0.4_m68k.deb
- sparc:
- http://security.debian.org/dists/stable/updates/binary-sparc/dhcp-client-beta_2.0b1pl6-0.4_sparc.deb
Debian GNU/Linux 2.2 (potato)
- Quellcode:
- http://security.debian.org/dists/potato/updates/main/source/dhcp_2.0-3potato2.diff.gz
- http://security.debian.org/dists/potato/updates/main/source/dhcp_2.0-3potato2.dsc
- http://security.debian.org/dists/potato/updates/main/source/dhcp_2.0.orig.tar.gz
- http://security.debian.org/dists/potato/updates/main/source/dhcp_2.0-3potato2.dsc
- alpha:
- http://security.debian.org/dists/potato/updates/main/binary-alpha/dhcp-client_2.0-3potato2_alpha.deb
- arm:
- http://security.debian.org/dists/potato/updates/main/binary-arm/dhcp-client_2.0-3potato2_arm.deb
- i386:
- http://security.debian.org/dists/potato/updates/main/binary-i386/dhcp-client_2.0-3potato2_i386.deb
- m68k:
- http://security.debian.org/dists/potato/updates/main/binary-m68k/dhcp-client_2.0-3potato2_m68k.deb
- powerpc:
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/dhcp-client_2.0-3potato2_powerpc.deb
- sparc:
- http://security.debian.org/dists/potato/updates/main/binary-sparc/dhcp-client_2.0-3potato2_sparc.deb