Debian beveiligingsbericht

screen -- lokaal misbruik

Datum van melding:
2 sep 2000
Betrokken pakketten:
screen
Kwetsbaar:
Ja
Referenties naar beveiligingsdatabases:
In het CVE-woordenboek van Mitre: CVE-2000-0901.
Aanvullende informatie:
Een fout-geformateerde-string bug is gevonden in screen. Deze bug kan uitgebuit worden om verhoogde bevoegdheden te krijgen als screen de setuid bit gebruikt. In Debian 2.1 (slink) had screen het setuid bit en kan de bug gebruikt worden om root te worden. In Debian 2.2 (potato) heeft screen niet het setuid bit en is dus niet gevoelig voor root misbruik. Maar, screen is wel setgid voor utmp en we raden dus ook voor Debian 2.2 (potato) het installeren van de nieuwe versie aan.

Een verbeterde versie van screen is beschikbaar als versie 3.7.4-9.1 voor Debian 2.1 (slink) en als versie 3.9.5-9 voor Debian 2.2 (potato).

NB: Voor slink zijn er op het moment alleen binaire pakketten beschikbaar voor i386.

Opgelost in:

Debian GNU/Linux 2.1 (slink)

Bron:
http://security.debian.org/dists/slink/updates/source/screen_3.7.4-9.1.diff.gz
http://security.debian.org/dists/slink/updates/source/screen_3.7.4-9.1.dsc
http://security.debian.org/dists/slink/updates/source/screen_3.7.4.orig.tar.gz
i386:
http://security.debian.org/dists/slink/updates/binary-i386/screen_3.7.4-9.1_i386.deb

Debian GNU/Linux 2.2 (potato)

Bron:
http://security.debian.org/dists/potato/updates/main/source/screen_3.9.5-9.diff.gz
http://security.debian.org/dists/potato/updates/main/source/screen_3.9.5-9.dsc
http://security.debian.org/dists/potato/updates/main/source/screen_3.9.5.orig.tar.gz
alpha:
http://security.debian.org/dists/potato/updates/main/binary-alpha/screen_3.9.5-9_alpha.deb
arm:
http://security.debian.org/dists/potato/updates/main/binary-arm/screen_3.9.5-9_arm.deb
i386:
http://security.debian.org/dists/potato/updates/main/binary-i386/screen_3.9.5-9_i386.deb
m68k:
http://security.debian.org/dists/potato/updates/main/binary-m68k/screen_3.9.5-9_m68k.deb
powerpc:
http://security.debian.org/dists/potato/updates/main/binary-powerpc/screen_3.9.5-9_powerpc.deb
sparc:
http://security.debian.org/dists/potato/updates/main/binary-sparc/screen_3.9.5-9_sparc.deb