Informations de sécurité / 2000 / Informations sur la sécurité -- xlockmore

Bulletin d'alerte Debian

xlockmore -- Compromission hypothétique du fichier shadow

Date du rapport :

16 août 2000

Paquets concernés :

xlockmore, xlockmore-gl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2000-0763.

Plus de précisions :

Il y a un bogue de format de chaîne dans toutes les versions d'ofxlockmore/xlockmore-gl. Debian GNU/Linux 2.1 (Slink) installe xlock avec le drapeau setgid positionné par défaut. Ainsi, cette exploitation peut être employée pour obtenir un accès en lecture sur le fichier shadow. Nous vous recommandons de faire immédiatement une mise à jour.

xlockmore est normalement installé en tant qu'utilisateur non privilégié dans la Debian GNU/Linux 2.2 (Potato) et n'est pas vulnérable dans ce cas de figure. xlockmore est setuid/setgid pour des raisons historiques ou après avoir fait une mise à jour d'une version de Debian antérieure ; consultez le fichier README.Debian dans /usr/doc/xlockmore ou /usr/doc/xlockmore-gl pour obtenir des informations sur les privilèges de xlock et comment les désactiver. Si votre environnement local requiert que xlock soit setgid ou si vous ne savez pas ce qu'il doit en être, mettez à jour vers un paquet corrigé.

Les paquets corrigés disponibles sont xlockmore/xlockmore-gl 4.12-5 pour la Debian GNU/Linux 2.1 (Slink) et xlockmore/xlockmore-gl 4.15-9 pour la Debian GNU/Linux 2.2 (Potato).

Corrigé dans :

Debian GNU/Linux 2.1 (slink):

Source :

http://security.debian.org/dists/slink/updates/source/xlockmore_4.12-5.diff.gz

http://security.debian.org/dists/slink/updates/source/xlockmore_4.12-5.dsc

http://security.debian.org/dists/slink/updates/source/xlockmore_4.12.orig.tar.gz

alpha:

http://security.debian.org/dists/slink/updates/binary-alpha/xlockmore-gl_4.12-5_alpha.deb

http://security.debian.org/dists/slink/updates/binary-alpha/xlockmore_4.12-5_alpha.deb

i386:

http://security.debian.org/dists/slink/updates/binary-i386/xlockmore-gl_4.12-5_i386.deb

http://security.debian.org/dists/slink/updates/binary-i386/xlockmore_4.12-5_i386.deb

alpha:

http://security.debian.org/dists/slink/updates/binary-m68k/xlockmore-gl_4.12-5_m68k.deb

http://security.debian.org/dists/slink/updates/binary-m68k/xlockmore_4.12-5_m68k.deb

sparc:

http://security.debian.org/dists/slink/updates/binary-sparc/xlockmore-gl_4.12-5_sparc.deb

http://security.debian.org/dists/slink/updates/binary-sparc/xlockmore_4.12-5_sparc.deb

Debian GNU/Linux 2.2 (potato):

Source :

http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15-9.diff.gz

http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15-9.dsc

http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15.orig.tar.gz

alpha:

http://security.debian.org/dists/potato/updates/main/binary-alpha/xlockmore-gl_4.15-9_alpha.deb

http://security.debian.org/dists/potato/updates/main/binary-alpha/xlockmore_4.15-9_alpha.deb

arm:

http://security.debian.org/dists/potato/updates/main/binary-arm/xlockmore-gl_4.15-9_arm.deb

http://security.debian.org/dists/potato/updates/main/binary-arm/xlockmore_4.15-9_arm.deb

i386:

http://security.debian.org/dists/potato/updates/main/binary-i386/xlockmore-gl_4.15-9_i386.deb

http://security.debian.org/dists/potato/updates/main/binary-i386/xlockmore_4.15-9_i386.deb

m68k:

http://security.debian.org/dists/potato/updates/main/binary-m68k/xlockmore-gl_4.15-9_m68k.deb

http://security.debian.org/dists/potato/updates/main/binary-m68k/xlockmore_4.15-9_m68k.deb

sparc:

http://security.debian.org/dists/potato/updates/main/binary-sparc/xlockmore-gl_4.15-9_sparc.deb

http://security.debian.org/dists/potato/updates/main/binary-sparc/xlockmore_4.15-9_sparc.deb

powerpc:

http://security.debian.org/dists/potato/updates/main/binary-powerpc/xlockmore-gl_4.15-9_powerpc.deb

http://security.debian.org/dists/potato/updates/main/binary-powerpc/xlockmore_4.15-9_powerpc.deb