Aviso de seguridad de Debian
dhcp client -- explotación remota de root en cliente dhcp
- Fecha del informe:
- 28 de jul de 2000
- Paquetes afectados:
- dhcp-client-beta, dhcp-client
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- No se dispone, de momento, de referencias a otras bases de datos de seguridad externas.
- Información adicional:
- Las versiones del cliente DHCP de Debian GNU/Linux 2.1
(slink) y Debian GNU/Linux 2.2 (potato) son vulnerables a una explotación de
root. El equipo de OpenBSD informa de que el cliente ejecuta de forma
inapropiada comandos empotrados en respuestas enviadas desde un servidor dhcp.
Esto significa que un servido dhcp malvado puede ejecutar comandos en el
cliente con privilegios de root. Un aviso de seguridad de Debian anterior
direccionaba este asunto con las versiones de paquete 2.0b1pl6-0.3 y
2.0-3potato1, pero ISC ha liberado un nuevo parche desde el aviso original.
Debería instalar los últimos paquetes aun si se actualizó tras liberar el
último aviso de seguridad.
La vulnerabilidad informada está arreglada en el paquete dhcp-client-beta 2.0b1pl6-0.4 para la versión estable actual (Debian GNU/Linux 2.1) y en dhcp-client 2.0-3potato2 para la pre-versión congelada (Debian GNU/Linux 2.2). El servidor dhcp y los agentes de retransmisión están construídos desde la misma fuente que el cliente; sin embargo, el servidor y los agentes de retransmisión no son vulnerables a este hecho y no necesitan ser actualizados. Le recomendamos que actualice inmediatamente dhcp-client-beta y dhcp-client.
- Arreglado en:
-
Debian GNU/Linux 2.1 (slink):
- Fuentes:
- http://security.debian.org/dists/stable/updates/source/dhcp-beta_2.0b1pl6-0.4.diff.gz
- http://security.debian.org/dists/stable/updates/source/dhcp-beta_2.0b1pl6-0.4.dsc
- http://security.debian.org/dists/stable/updates/source/dhcp-beta_2.0b1pl6.orig.tar.gz
- http://security.debian.org/dists/stable/updates/source/dhcp-beta_2.0b1pl6-0.4.dsc
- alpha:
- http://security.debian.org/dists/stable/updates/binary-alpha/dhcp-client-beta_2.0b1pl6-0.4_alpha.deb
- i386:
- http://security.debian.org/dists/stable/updates/binary-i386/dhcp-client-beta_2.0b1pl6-0.4_i386.deb
- m68k:
- http://security.debian.org/dists/stable/updates/binary-m68k/dhcp-client-beta_2.0b1pl6-0.4_m68k.deb
- sparc:
- http://security.debian.org/dists/stable/updates/binary-sparc/dhcp-client-beta_2.0b1pl6-0.4_sparc.deb
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/dists/potato/updates/main/source/dhcp_2.0-3potato2.diff.gz
- http://security.debian.org/dists/potato/updates/main/source/dhcp_2.0-3potato2.dsc
- http://security.debian.org/dists/potato/updates/main/source/dhcp_2.0.orig.tar.gz
- http://security.debian.org/dists/potato/updates/main/source/dhcp_2.0-3potato2.dsc
- alpha:
- http://security.debian.org/dists/potato/updates/main/binary-alpha/dhcp-client_2.0-3potato2_alpha.deb
- arm:
- http://security.debian.org/dists/potato/updates/main/binary-arm/dhcp-client_2.0-3potato2_arm.deb
- i386:
- http://security.debian.org/dists/potato/updates/main/binary-i386/dhcp-client_2.0-3potato2_i386.deb
- m68k:
- http://security.debian.org/dists/potato/updates/main/binary-m68k/dhcp-client_2.0-3potato2_m68k.deb
- powerpc:
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/dhcp-client_2.0-3potato2_powerpc.deb
- sparc:
- http://security.debian.org/dists/potato/updates/main/binary-sparc/dhcp-client_2.0-3potato2_sparc.deb