Информация по безопасности / 2000 / Информация о безопасности -- modutils

Рекомендация Debian по безопасности

modutils -- локальная уязвимость

Дата сообщения:

20.11.2000

Затронутые пакеты:

modutils

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2000-1095.

Более подробная информация:

Себастиан Крамер обнаружил проблему в утилите modprobe, которая может использоваться локальными пользователями для запуска произвольных команд от лица суперпользователя в том случае, если на машине запущено ядро с включённой опцией kmod.

Опция kmod позволяет ядру динамически загружать модули ядра, если требуемая функциональность отсутствует в запущенном ядре. Это выполняется благодаря запуску команды modprobe с требуемым модулем в качестве параметра. Этот параметр может быть изменён пользователями, например, путём открытия несуществующих в данный момент файлов в файловой системе devfs, либо при попытке обращения к несуществующему сетевому интерфейсу. Поскольку modprobe неправильно экранирует метасимволы командной оболочки при вызове внешних команд, либо неправильно выполняет проверку последнего параметра на предмет того, является ли он именем модуля, постольку пользователи могут запускать произвольные команды.

Эта проблема была исправлена в версии 2.3.11-12, рекомендуется как можно скорее обновить пакет modutils.

Исправлено в:

Debian 2.2 (potato)

Исходный код:

http://security.debian.org/dists/stable/updates/main/source/modutils_2.3.11-12.diff.gz

http://security.debian.org/dists/stable/updates/main/source/modutils_2.3.11-12.dsc

http://security.debian.org/dists/stable/updates/main/source/modutils_2.3.11.orig.tar.gz

alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/modutils_2.3.11-12_alpha.deb

arm:

http://security.debian.org/dists/stable/updates/main/binary-arm/modutils_2.3.11-12_arm.deb

i386:

http://security.debian.org/dists/stable/updates/main/binary-i386/modutils_2.3.11-12_i386.deb

m68k:

http://security.debian.org/dists/stable/updates/main/binary-m68k/modutils_2.3.11-12_m68k.deb

powerpc:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/modutils_2.3.11-12_powerpc.deb

sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/modutils_2.3.11-12_sparc.deb