Información sobre seguridad / 2000 / Información sobre seguridad -- xmcd

Aviso de seguridad de Debian

xmcd -- binarios con privilegios no contrastados

Fecha del informe:

21 de nov de 2000

Paquetes afectados:

xmcd, cddb

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

No se dispone, de momento, de referencias a otras bases de datos de seguridad externas.

Información adicional:

El paquete xmcd de Debian GNU/Linux ha instalado históricamente dos archivos ayudantes con setuid para acceder a las bases de datos cddb y los dispositivos de cdrom SCSI. Más recientemente, el paquete ofrecía al administrador la posibilidad de borrar estas banderas setuid, pero lo hacía de forma incorrecta.

Un desbordamiento de búfer en ncurses, enlazado con el binario "cda", permitía una explotación de root. Se han liberado paquetes de ncurses reparados, así como paquetes xmcd corregidos que no instalan este binario con una bandera setuid.

El problema está arreglado en xmcd 2.5pl1-7.1, y le recomendamos que todos los usuarios con xmcd instalado que se actualicen a esta versión. Puede necesitar añadir usuarios de xmcd a los grupos "audio" y "cdrom" para que puedan continuar usando xmcd.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:

http://security.debian.org/dists/potato/updates/main/source/xmcd_2.5pl1-7.1.dsc

http://security.debian.org/dists/potato/updates/main/source/xmcd_2.5pl1-7.1.diff.gz

http://security.debian.org/dists/potato/updates/main/source/xmcd_2.5pl1.orig.tar.gz

Alpha:

http://security.debian.org/dists/potato/updates/main/binary-alpha/cddb_2.5pl1-7.1_alpha.deb

http://security.debian.org/dists/potato/updates/main/binary-alpha/xmcd_2.5pl1-7.1_alpha.deb

ARM:

http://security.debian.org/dists/potato/updates/main/binary-arm/cddb_2.5pl1-7.1_arm.deb

http://security.debian.org/dists/potato/updates/main/binary-arm/xmcd_2.5pl1-7.1_arm.deb

Intel IA32:

http://security.debian.org/dists/potato/updates/main/binary-i386/cddb_2.5pl1-7.1_i386.deb

http://security.debian.org/dists/potato/updates/main/binary-i386/xmcd_2.5pl1-7.1_i386.deb

Motorola 680x0:

http://security.debian.org/dists/potato/updates/main/binary-m68k/cddb_2.5pl1-7.1_m68k.deb

http://security.debian.org/dists/potato/updates/main/binary-m68k/xmcd_2.5pl1-7.1_m68k.deb

PowerPC:

http://security.debian.org/dists/potato/updates/main/binary-powerpc/cddb_2.5pl1-7.1_powerpc.deb

http://security.debian.org/dists/potato/updates/main/binary-powerpc/xmcd_2.5pl1-7.1_powerpc.deb

Sun SPARC:

http://security.debian.org/dists/potato/updates/main/binary-sparc/cddb_2.5pl1-7.1_sparc.deb

http://security.debian.org/dists/potato/updates/main/binary-sparc/xmcd_2.5pl1-7.1_sparc.deb