Debian-Sicherheitsankündigung

xmcd -- Unzuverlässig privilegierte Programme

Datum des Berichts:

21. Nov 2000

Betroffene Pakete:

xmcd, cddb

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

Im Augenblick ist keine weitere externe Sicherheitsdatenbank-Referenz verfügbar.

Weitere Informationen:

Das Debian GNU/Linux xmcd-Paket hat historisch bedingt zwei setuid Hilfsprogramme installiert, um auf die cddb-Datenbanken und SCSI CD-ROM-Laufwerke zugreifen zu können. Seit kurzem bietet das Paket dem Administrator die Möglichkeit, diese setuid-Flags zu löschen, aber führte dies nicht korrekt durch.

Ein Pufferüberlauf in ncurses, das gegen das "cda" Programm gelinkt ist, erlaubte eine root-Ausbeutung. Behobene ncurses-Pakete wurden veröffentlicht, wie auch behobene xmcd-Pakete, die dieses Programm ohne setuid-Flag installieren.

Das Problem wurde in xmcd 2.5pl1-7.1 behoben, und wir empfehlen allen Benutzern, die xmcd installiert haben, auf dieses Release zu aktualisieren. Sie müssen wohl alle Benutzer von xmcd zu den Gruppen "audio" und "cdrom" hinzufügen, um diese weiterhin xmcd verwenden zu lassen.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:: http://security.debian.org/dists/potato/updates/main/source/xmcd_2.5pl1-7.1.dsc; http://security.debian.org/dists/potato/updates/main/source/xmcd_2.5pl1-7.1.diff.gz; http://security.debian.org/dists/potato/updates/main/source/xmcd_2.5pl1.orig.tar.gz
Alpha:: http://security.debian.org/dists/potato/updates/main/binary-alpha/cddb_2.5pl1-7.1_alpha.deb; http://security.debian.org/dists/potato/updates/main/binary-alpha/xmcd_2.5pl1-7.1_alpha.deb
ARM:: http://security.debian.org/dists/potato/updates/main/binary-arm/cddb_2.5pl1-7.1_arm.deb; http://security.debian.org/dists/potato/updates/main/binary-arm/xmcd_2.5pl1-7.1_arm.deb
Intel IA32:: http://security.debian.org/dists/potato/updates/main/binary-i386/cddb_2.5pl1-7.1_i386.deb; http://security.debian.org/dists/potato/updates/main/binary-i386/xmcd_2.5pl1-7.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/potato/updates/main/binary-m68k/cddb_2.5pl1-7.1_m68k.deb; http://security.debian.org/dists/potato/updates/main/binary-m68k/xmcd_2.5pl1-7.1_m68k.deb
PowerPC:: http://security.debian.org/dists/potato/updates/main/binary-powerpc/cddb_2.5pl1-7.1_powerpc.deb; http://security.debian.org/dists/potato/updates/main/binary-powerpc/xmcd_2.5pl1-7.1_powerpc.deb
Sun SPARC:: http://security.debian.org/dists/potato/updates/main/binary-sparc/cddb_2.5pl1-7.1_sparc.deb; http://security.debian.org/dists/potato/updates/main/binary-sparc/xmcd_2.5pl1-7.1_sparc.deb