Debian セキュリティ勧告

screen -- ローカルからの攻撃

報告日時:

2000-09-02

影響を受けるパッケージ:

screen

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2000-0901.

詳細:

フォーマット文字列のバグが最近 screen に見つかりました。この問題を利用して、screen が setuid である場合に、上昇された権限を使うことができます。Debian GNU/Linux 2.1 (slink) では screen が setuid で配布されており、この不正利用によって root 権限を取得することが可能となっています。Debian GNU/Linux 2.2 (potato) においては、screen は setuid ではないので、root 権限を不正利用される脆弱性はありませんが、 Debian GNU/Linux 2.2 (potato) では screen は setgid utmp となっているので、アップデートをお勧めします。

screen の修正版は、Debian GNU/Linux 2.1 (slink) Debian GNU/Linux 2.1 (slink) 用のバージョン 3.7.4-9.1 および Debian GNU/Linux 2.2 (potato) 用のバージョン 3.9.5-9 で使用可能となっています。

注記: slink に向けては、i386 用のバイナリパッケージが今回に限りリリースされています。

修正:

Debian GNU/Linux 2.1 (slink)

ソース:: http://security.debian.org/dists/slink/updates/source/screen_3.7.4-9.1.diff.gz; http://security.debian.org/dists/slink/updates/source/screen_3.7.4-9.1.dsc; http://security.debian.org/dists/slink/updates/source/screen_3.7.4.orig.tar.gz
i386:: http://security.debian.org/dists/slink/updates/binary-i386/screen_3.7.4-9.1_i386.deb

Debian GNU/Linux 2.2 (potato)

ソース:: http://security.debian.org/dists/potato/updates/main/source/screen_3.9.5-9.diff.gz; http://security.debian.org/dists/potato/updates/main/source/screen_3.9.5-9.dsc; http://security.debian.org/dists/potato/updates/main/source/screen_3.9.5.orig.tar.gz
alpha:: http://security.debian.org/dists/potato/updates/main/binary-alpha/screen_3.9.5-9_alpha.deb
arm:: http://security.debian.org/dists/potato/updates/main/binary-arm/screen_3.9.5-9_arm.deb
i386:: http://security.debian.org/dists/potato/updates/main/binary-i386/screen_3.9.5-9_i386.deb
m68k:: http://security.debian.org/dists/potato/updates/main/binary-m68k/screen_3.9.5-9_m68k.deb
powerpc:: http://security.debian.org/dists/potato/updates/main/binary-powerpc/screen_3.9.5-9_powerpc.deb
sparc:: http://security.debian.org/dists/potato/updates/main/binary-sparc/screen_3.9.5-9_sparc.deb