Bulletin d'alerte Debian
nis -- Exploitation locale
- Date du rapport :
- 14 octobre 2000
- Paquets concernés :
- nis
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2000-1040.
- Plus de précisions :
-
La version de nis distribuée dans les Debian GNU/Linux 2.1
et 2.2 contient le paquet ypbind qui possède un problème de
sécurité.
ypbind est utilisé pour interroger un serveur nis qui est utilisé par la machine locale. Le code d'authentification dans ypbind était vulnérable à une attaque de formatage de printf qui permettait l'envoi de requêtes formées par l'intermédiaire de ypbind. De cette manière, ypbind peut être utilisé pour exécuter du code arbitraire en tant que superutilisateur.
Le problème a été résolu dans la version 3.5-2.1 de la Debian GNU/Linux 2.1 et dans la version 3.8-0.1 de la Debian GNU/Linux 2.2.
Note : pour le moment, les mises à jour de sécurité de Slink pour alpha et sparc ne sont plus supportées. Le support pour les plates-formes i386 et m68k continuera jusqu'à la fin du mois.
- Corrigé dans :
-
Debian GNU/Linux 2.1 (slink)
- Source :
- http://security.debian.org/dists/slink/updates/source/nis_3.5-2.1.diff.gz
- http://security.debian.org/dists/slink/updates/source/nis_3.5-2.1.dsc
- http://security.debian.org/dists/slink/updates/source/nis_3.5.orig.tar.gz
- http://security.debian.org/dists/slink/updates/source/nis_3.5-2.1.dsc
- Intel IA32:
- http://security.debian.org/dists/slink/updates/binary-i386/nis_3.5-2.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/slink/updates/binary-m68k/nis_3.5-2.1_m68k.deb
Debian GNU/Linux 2.2 (potato)
- Source :
- http://security.debian.org/dists/potato/updates/main/source/nis_3.8-0.1.diff.gz
- http://security.debian.org/dists/potato/updates/main/source/nis_3.8-0.1.dsc
- http://security.debian.org/dists/potato/updates/main/source/nis_3.8.orig.tar.gz
- http://security.debian.org/dists/potato/updates/main/source/nis_3.8-0.1.dsc
- Alpha:
- http://security.debian.org/dists/potato/updates/main/binary-alpha/nis_3.8-0.1_alpha.deb
- ARM:
- http://security.debian.org/dists/potato/updates/main/binary-arm/nis_3.8-0.1_arm.deb
- Intel IA32:
- http://security.debian.org/dists/potato/updates/main/binary-i386/nis_3.8-0.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/potato/updates/main/binary-m68k/nis_3.8-0.1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/nis_3.8-0.1_powerpc.deb
- Sun SPARC:
- http://security.debian.org/dists/potato/updates/main/binary-sparc/nis_3.8-0.1_sparc.deb