Informations de sécurité / 2000 / Informations sur la sécurité -- xmcd

Bulletin d'alerte Debian

xmcd -- Droit de binaires non sécurisés

Date du rapport :

21 novembre 2000

Paquets concernés :

xmcd, cddb

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Plus de précisions :

Le paquet xmcd Debian GNU/Linux installait pour des raisons historiques deux fichiers setuid pour accéder aux bases de données cddb et aux lecteurs cdrom SCSI. Plus récemment, le paquet offre à l'administrateur la possibilité de supprimer ces drapeaux setuid, cependant, il le fait incorrectement.

Un débordement de capacité dans ncurses, lié au binaire cda, permet l'exploitation du compte root. Le nouveau paquet ncurses réparant cette erreur est disponible, tout comme la version du paquet xmcd qui désormais n'installe plus le binaire avec un drapeau setuid.

Le problème a été réparé pour xmcd 2.5pl1-7.1, nous vous recommandons la mise à jour immédiate du paquet. Il est désormais nécessaire d'ajouter l'utilisateur xmcd aux groupes "audio" et "cdrom" afin de pouvoir continuer à utiliser xmcd.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :

http://security.debian.org/dists/potato/updates/main/source/xmcd_2.5pl1-7.1.dsc

http://security.debian.org/dists/potato/updates/main/source/xmcd_2.5pl1-7.1.diff.gz

http://security.debian.org/dists/potato/updates/main/source/xmcd_2.5pl1.orig.tar.gz

Alpha:

http://security.debian.org/dists/potato/updates/main/binary-alpha/cddb_2.5pl1-7.1_alpha.deb

http://security.debian.org/dists/potato/updates/main/binary-alpha/xmcd_2.5pl1-7.1_alpha.deb

ARM:

http://security.debian.org/dists/potato/updates/main/binary-arm/cddb_2.5pl1-7.1_arm.deb

http://security.debian.org/dists/potato/updates/main/binary-arm/xmcd_2.5pl1-7.1_arm.deb

Intel IA32:

http://security.debian.org/dists/potato/updates/main/binary-i386/cddb_2.5pl1-7.1_i386.deb

http://security.debian.org/dists/potato/updates/main/binary-i386/xmcd_2.5pl1-7.1_i386.deb

Motorola 680x0:

http://security.debian.org/dists/potato/updates/main/binary-m68k/cddb_2.5pl1-7.1_m68k.deb

http://security.debian.org/dists/potato/updates/main/binary-m68k/xmcd_2.5pl1-7.1_m68k.deb

PowerPC:

http://security.debian.org/dists/potato/updates/main/binary-powerpc/cddb_2.5pl1-7.1_powerpc.deb

http://security.debian.org/dists/potato/updates/main/binary-powerpc/xmcd_2.5pl1-7.1_powerpc.deb

Sun SPARC:

http://security.debian.org/dists/potato/updates/main/binary-sparc/cddb_2.5pl1-7.1_sparc.deb

http://security.debian.org/dists/potato/updates/main/binary-sparc/xmcd_2.5pl1-7.1_sparc.deb