Bulletin d'alerte Debian
dhcp client -- Exploitation distante de root dans DHCP-client
- Date du rapport :
- 28 juillet 2000
- Paquets concernés :
- dhcp-client-beta, dhcp-client
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
- Plus de précisions :
- Les versions du client ISC DHCP dans la Debian
GNU/Linux 2.1 (Slink) et dans la Debian GNU/Linux 2.2
(Potato) sont vulnérables à une exploitation de root. L'équipe
d'OpenBSD rapporte que le client exécute des commandes inappropriées en
réponse à des demandes du serveur DHCP. Cela signifie qu'un serveur DHCP
malveillant peut exécuter des commandes sur les clients DHCP en tant que
root. Une précédente annonce de sécurité Debian mettait en évidence
cette vulnérabilité dans les versions 2.0b1pl6-0.3
et 2.0-3potato1 ; cependant ISC a publié une nouvelle rustine
depuis l'avertissement précédent. Vous devriez installer la dernière
version du paquet même si vous avez mis à jour votre paquet lors de la
dernière alerte.
La vulnérabilité rapportée est réparée dans le paquet dhcp-client-beta2.0b1pl6-0.4 pour la version stable courante (Debian GNU/Linux 2.1) et dans le paquet dhcp-client2.0-3potato2 pour la préversion gelée (Debian GNU/Linux 2.2). Le serveur DHCP et les agents relais sont construits à partir du même source du client ; cependant, le serveur et les agents relais ne sont pas vulnérables à ce problème et ne nécessitent pas par conséquent de mise à jour. Nous vous recommandons la mise à jour immédiate de dhcp-client-beta et de dhcp-client.
- Corrigé dans :
-
Debian GNU/Linux 2.1 (slink):
- Source :
- http://security.debian.org/dists/stable/updates/source/dhcp-beta_2.0b1pl6-0.4.diff.gz
- http://security.debian.org/dists/stable/updates/source/dhcp-beta_2.0b1pl6-0.4.dsc
- http://security.debian.org/dists/stable/updates/source/dhcp-beta_2.0b1pl6.orig.tar.gz
- http://security.debian.org/dists/stable/updates/source/dhcp-beta_2.0b1pl6-0.4.dsc
- alpha:
- http://security.debian.org/dists/stable/updates/binary-alpha/dhcp-client-beta_2.0b1pl6-0.4_alpha.deb
- i386:
- http://security.debian.org/dists/stable/updates/binary-i386/dhcp-client-beta_2.0b1pl6-0.4_i386.deb
- m68k:
- http://security.debian.org/dists/stable/updates/binary-m68k/dhcp-client-beta_2.0b1pl6-0.4_m68k.deb
- sparc:
- http://security.debian.org/dists/stable/updates/binary-sparc/dhcp-client-beta_2.0b1pl6-0.4_sparc.deb
Debian GNU/Linux 2.2 (potato)
- Source :
- http://security.debian.org/dists/potato/updates/main/source/dhcp_2.0-3potato2.diff.gz
- http://security.debian.org/dists/potato/updates/main/source/dhcp_2.0-3potato2.dsc
- http://security.debian.org/dists/potato/updates/main/source/dhcp_2.0.orig.tar.gz
- http://security.debian.org/dists/potato/updates/main/source/dhcp_2.0-3potato2.dsc
- alpha:
- http://security.debian.org/dists/potato/updates/main/binary-alpha/dhcp-client_2.0-3potato2_alpha.deb
- arm:
- http://security.debian.org/dists/potato/updates/main/binary-arm/dhcp-client_2.0-3potato2_arm.deb
- i386:
- http://security.debian.org/dists/potato/updates/main/binary-i386/dhcp-client_2.0-3potato2_i386.deb
- m68k:
- http://security.debian.org/dists/potato/updates/main/binary-m68k/dhcp-client_2.0-3potato2_m68k.deb
- powerpc:
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/dhcp-client_2.0-3potato2_powerpc.deb
- sparc:
- http://security.debian.org/dists/potato/updates/main/binary-sparc/dhcp-client_2.0-3potato2_sparc.deb