Debian セキュリティ勧告

xmcd -- 信頼性のない権限を持ったバイナリ

報告日時:

2000-11-21

影響を受けるパッケージ:

xmcd, cddb

危険性:

あり

参考セキュリティデータベース:

現時点では、その他の外部参考セキュリティデータベースはありません。

詳細:

Debian GNU/Linux の xmcd パッケージは、以前から cddb データベースおよび SCSI cdrom ドライブにアクセスするために、二つの setuid ヘルパをインストールしていました。最近では、このパッケージは管理者がこれらの setuid フラグを消去できるようにしていますが、これは正しく行われていませんでした。

"cda" バイナリにリンクされた ncurses でのバッファオーバーフローによって、root 権限が不正利用できてしまいます。修正された ncurses パッケージ、および setuid フラグを使用してこのバイナリをインストールしないよう修正された xmcd パッケージがリリースされています。

この問題は、 xmcd 2.5pl1-7.1 では修正されています。xmcd をインストールしているすべてのユーザの方々に対し、このリリースにアップグレードするようお勧めします。なお、その際には、xmcd を使用し続けられるよう、 xmcd のユーザを "audio" および"cdrom" のグループに追加する必要があります。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:: http://security.debian.org/dists/potato/updates/main/source/xmcd_2.5pl1-7.1.dsc; http://security.debian.org/dists/potato/updates/main/source/xmcd_2.5pl1-7.1.diff.gz; http://security.debian.org/dists/potato/updates/main/source/xmcd_2.5pl1.orig.tar.gz
Alpha:: http://security.debian.org/dists/potato/updates/main/binary-alpha/cddb_2.5pl1-7.1_alpha.deb; http://security.debian.org/dists/potato/updates/main/binary-alpha/xmcd_2.5pl1-7.1_alpha.deb
ARM:: http://security.debian.org/dists/potato/updates/main/binary-arm/cddb_2.5pl1-7.1_arm.deb; http://security.debian.org/dists/potato/updates/main/binary-arm/xmcd_2.5pl1-7.1_arm.deb
Intel IA32:: http://security.debian.org/dists/potato/updates/main/binary-i386/cddb_2.5pl1-7.1_i386.deb; http://security.debian.org/dists/potato/updates/main/binary-i386/xmcd_2.5pl1-7.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/potato/updates/main/binary-m68k/cddb_2.5pl1-7.1_m68k.deb; http://security.debian.org/dists/potato/updates/main/binary-m68k/xmcd_2.5pl1-7.1_m68k.deb
PowerPC:: http://security.debian.org/dists/potato/updates/main/binary-powerpc/cddb_2.5pl1-7.1_powerpc.deb; http://security.debian.org/dists/potato/updates/main/binary-powerpc/xmcd_2.5pl1-7.1_powerpc.deb
Sun SPARC:: http://security.debian.org/dists/potato/updates/main/binary-sparc/cddb_2.5pl1-7.1_sparc.deb; http://security.debian.org/dists/potato/updates/main/binary-sparc/xmcd_2.5pl1-7.1_sparc.deb