Aviso de seguridad de Debian
nis -- explotación local
- Fecha del informe:
- 14 de oct de 2000
- Paquetes afectados:
- nis
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2000-1040.
- Información adicional:
-
La versión de nis distribuida con Debian GNU/Linux 2.1 y 2.2 contiene un
paquete ypbind con un problema de seguridad.
ypbind se usa para solicitar información desde un servidor nis que es usada luego por la máquina local. El código de registro (logging) de ypbin era vulnerable a un ataque de formato de printf que podía ser explotado al pasarle a ypbind una petición cuidadosamente modificada. De esta forma, ypbind puede hacer que se ejecute código arbitrario como root.
Esto ha sido arreglado en la versión 3.5-2.1 de Debian GNU/Linux 2.1 y en la versión 3.8-0.1 para Debian GNU/Linux 2.2.
Nota: En este momento, no se harán más actualizaciones de seguridad para alpha ni sparc. El soporte para i386 y m68k continuará hasta el final de este mes.
- Arreglado en:
-
Debian GNU/Linux 2.1 (slink)
- Fuentes:
- http://security.debian.org/dists/slink/updates/source/nis_3.5-2.1.diff.gz
- http://security.debian.org/dists/slink/updates/source/nis_3.5-2.1.dsc
- http://security.debian.org/dists/slink/updates/source/nis_3.5.orig.tar.gz
- http://security.debian.org/dists/slink/updates/source/nis_3.5-2.1.dsc
- Intel IA32:
- http://security.debian.org/dists/slink/updates/binary-i386/nis_3.5-2.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/slink/updates/binary-m68k/nis_3.5-2.1_m68k.deb
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/dists/potato/updates/main/source/nis_3.8-0.1.diff.gz
- http://security.debian.org/dists/potato/updates/main/source/nis_3.8-0.1.dsc
- http://security.debian.org/dists/potato/updates/main/source/nis_3.8.orig.tar.gz
- http://security.debian.org/dists/potato/updates/main/source/nis_3.8-0.1.dsc
- Alpha:
- http://security.debian.org/dists/potato/updates/main/binary-alpha/nis_3.8-0.1_alpha.deb
- ARM:
- http://security.debian.org/dists/potato/updates/main/binary-arm/nis_3.8-0.1_arm.deb
- Intel IA32:
- http://security.debian.org/dists/potato/updates/main/binary-i386/nis_3.8-0.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/potato/updates/main/binary-m68k/nis_3.8-0.1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/nis_3.8-0.1_powerpc.deb
- Sun SPARC:
- http://security.debian.org/dists/potato/updates/main/binary-sparc/nis_3.8-0.1_sparc.deb