Рекомендация Debian по безопасности

xlockmore -- возможная компрометация файла shadow

Дата сообщения:

16.08.2000

Затронутые пакеты:

xlockmore, xlockmore-gl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2000-0763.

Более подробная информация:

Во всех версиях xlockmore/xlockmore-gl присутствует ошибка форматной строки. В Debian GNU/Linux 2.1 (slink) по умолчанию устанавливается xlock с флагом прав доступа, позволяющим запускать программу от лица другой группы, данная уязвимость может использоваться для получения досупа для чтения к файлу shadow. Рекомендуется как можно скорее выполнить обновление.

В Debian GNU/Linux 2.2 (potato) обычно xlockmore устанавливается как непривилегированная программа и при таких настройках не подвержена указанной уязвимости. По историческим причинам xlockmore может иметь флаги прав доступа, позволяющие запускать её от лица другого пользователя или другой группы, либо после обновления с предыдущего выпуска Debian GNU/Linux; обратитесь к файлу README.Debian в /usr/doc/xlockmore или /usr/doc/xlockmore-gl для получения дополнительной информации о правах xlock, а также том, как их отключить. Если ваше локальное окружение требует того, чтобы xlock имел флаг прав доступа, позволяющий запускать её от лица другой группы, либо если вы сомневаетесь в этом, то вам следует как можно скорее выполнить обновление пакета.

Исправленные пакет xlockmore/xlockmore-gl 4.12-5 доступны для Debian GNU/Linux 2.1 (slink), xlockmore/xlockmore-gl 4.15-9 для Debian GNU/Linux 2.2 (potato).

Исправлено в:

Debian GNU/Linux 2.1 (slink):

Исходный код:: http://security.debian.org/dists/slink/updates/source/xlockmore_4.12-5.diff.gz; http://security.debian.org/dists/slink/updates/source/xlockmore_4.12-5.dsc; http://security.debian.org/dists/slink/updates/source/xlockmore_4.12.orig.tar.gz
alpha:: http://security.debian.org/dists/slink/updates/binary-alpha/xlockmore-gl_4.12-5_alpha.deb; http://security.debian.org/dists/slink/updates/binary-alpha/xlockmore_4.12-5_alpha.deb
i386:: http://security.debian.org/dists/slink/updates/binary-i386/xlockmore-gl_4.12-5_i386.deb; http://security.debian.org/dists/slink/updates/binary-i386/xlockmore_4.12-5_i386.deb
alpha:: http://security.debian.org/dists/slink/updates/binary-m68k/xlockmore-gl_4.12-5_m68k.deb; http://security.debian.org/dists/slink/updates/binary-m68k/xlockmore_4.12-5_m68k.deb
sparc:: http://security.debian.org/dists/slink/updates/binary-sparc/xlockmore-gl_4.12-5_sparc.deb; http://security.debian.org/dists/slink/updates/binary-sparc/xlockmore_4.12-5_sparc.deb

Debian GNU/Linux 2.2 (potato):

Исходный код:: http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15-9.diff.gz; http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15-9.dsc; http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15.orig.tar.gz
alpha:: http://security.debian.org/dists/potato/updates/main/binary-alpha/xlockmore-gl_4.15-9_alpha.deb; http://security.debian.org/dists/potato/updates/main/binary-alpha/xlockmore_4.15-9_alpha.deb
arm:: http://security.debian.org/dists/potato/updates/main/binary-arm/xlockmore-gl_4.15-9_arm.deb; http://security.debian.org/dists/potato/updates/main/binary-arm/xlockmore_4.15-9_arm.deb
i386:: http://security.debian.org/dists/potato/updates/main/binary-i386/xlockmore-gl_4.15-9_i386.deb; http://security.debian.org/dists/potato/updates/main/binary-i386/xlockmore_4.15-9_i386.deb
m68k:: http://security.debian.org/dists/potato/updates/main/binary-m68k/xlockmore-gl_4.15-9_m68k.deb; http://security.debian.org/dists/potato/updates/main/binary-m68k/xlockmore_4.15-9_m68k.deb
sparc:: http://security.debian.org/dists/potato/updates/main/binary-sparc/xlockmore-gl_4.15-9_sparc.deb; http://security.debian.org/dists/potato/updates/main/binary-sparc/xlockmore_4.15-9_sparc.deb
powerpc:: http://security.debian.org/dists/potato/updates/main/binary-powerpc/xlockmore-gl_4.15-9_powerpc.deb; http://security.debian.org/dists/potato/updates/main/binary-powerpc/xlockmore_4.15-9_powerpc.deb