Bulletin d'alerte Debian

dhcp client -- Exploitation distante de root dans DHCP-client

Date du rapport :
28 juillet 2000
Paquets concernés :
dhcp-client-beta, dhcp-client
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :
Les versions du client ISC DHCP dans la Debian GNU/Linux 2.1 (Slink) et dans la Debian GNU/Linux 2.2 (Potato) sont vulnérables à une exploitation de root. L'équipe d'OpenBSD rapporte que le client exécute des commandes inappropriées en réponse à des demandes du serveur DHCP. Cela signifie qu'un serveur DHCP malveillant peut exécuter des commandes sur les clients DHCP en tant que root. Une précédente annonce de sécurité Debian mettait en évidence cette vulnérabilité dans les versions 2.0b1pl6-0.3 et 2.0-3potato1 ; cependant ISC a publié une nouvelle rustine depuis l'avertissement précédent. Vous devriez installer la dernière version du paquet même si vous avez mis à jour votre paquet lors de la dernière alerte.

La vulnérabilité rapportée est réparée dans le paquet dhcp-client-beta2.0b1pl6-0.4 pour la version stable courante (Debian GNU/Linux 2.1) et dans le paquet dhcp-client2.0-3potato2 pour la préversion gelée (Debian GNU/Linux 2.2). Le serveur DHCP et les agents relais sont construits à partir du même source du client ; cependant, le serveur et les agents relais ne sont pas vulnérables à ce problème et ne nécessitent pas par conséquent de mise à jour. Nous vous recommandons la mise à jour immédiate de dhcp-client-beta et de dhcp-client.

Corrigé dans :

Debian GNU/Linux 2.1 (slink):

Source :
http://security.debian.org/dists/stable/updates/source/dhcp-beta_2.0b1pl6-0.4.diff.gz
http://security.debian.org/dists/stable/updates/source/dhcp-beta_2.0b1pl6-0.4.dsc
http://security.debian.org/dists/stable/updates/source/dhcp-beta_2.0b1pl6.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/binary-alpha/dhcp-client-beta_2.0b1pl6-0.4_alpha.deb
i386:
http://security.debian.org/dists/stable/updates/binary-i386/dhcp-client-beta_2.0b1pl6-0.4_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/binary-m68k/dhcp-client-beta_2.0b1pl6-0.4_m68k.deb
sparc:
http://security.debian.org/dists/stable/updates/binary-sparc/dhcp-client-beta_2.0b1pl6-0.4_sparc.deb

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/dists/potato/updates/main/source/dhcp_2.0-3potato2.diff.gz
http://security.debian.org/dists/potato/updates/main/source/dhcp_2.0-3potato2.dsc
http://security.debian.org/dists/potato/updates/main/source/dhcp_2.0.orig.tar.gz
alpha:
http://security.debian.org/dists/potato/updates/main/binary-alpha/dhcp-client_2.0-3potato2_alpha.deb
arm:
http://security.debian.org/dists/potato/updates/main/binary-arm/dhcp-client_2.0-3potato2_arm.deb
i386:
http://security.debian.org/dists/potato/updates/main/binary-i386/dhcp-client_2.0-3potato2_i386.deb
m68k:
http://security.debian.org/dists/potato/updates/main/binary-m68k/dhcp-client_2.0-3potato2_m68k.deb
powerpc:
http://security.debian.org/dists/potato/updates/main/binary-powerpc/dhcp-client_2.0-3potato2_powerpc.deb
sparc:
http://security.debian.org/dists/potato/updates/main/binary-sparc/dhcp-client_2.0-3potato2_sparc.deb