Debian-Sicherheitsankündigung
DSA-005-1 slocate -- Lokale Ausbeutung
- Datum des Berichts:
- 17. Dez 2000
- Betroffene Pakete:
- slocate
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2001-0066.
- Weitere Informationen:
- Michel Kaempf berichtete von einem Sicherheitsproblem in
slocate (eine sichere Version von locate, einem Werkzeug, um rasch Dateien im
Dateisystem zu finden) auf Bugtraq, das ursprünglich von zorgon entdeckt
wurde. Er entdeckte, dass es einen Fehler im Datenbanklese-Code gab, der so
eine interne Struktur mit einigen Eingaben überschrieb. Er zeigte dann, dass
dies ausgenutzt werden konnte, um slocate auszutricksen, um beliebigen Code
auszuführen, indem man es auf eine sorgfältig erstellte Datenbank zeigen
lässt.
Dies wurde in Version 2.4-2potato1 behoben und wir empfehlen Ihnen, Ihr slocate-Paket unverzüglich zu aktualisieren.
- Behoben in:
-
Debian 2.2 (potato)
- Quellcode:
-
http://security.debian.org/dists/stable/updates/main/source/slocate_2.4-2potato1.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/slocate_2.4-2potato1.dsc
-
http://security.debian.org/dists/stable/updates/main/source/slocate_2.4.orig.tar.gz
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/slocate_2.4-2potato1_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/slocate_2.4-2potato1_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/slocate_2.4-2potato1_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/slocate_2.4-2potato1_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/slocate_2.4-2potato1_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/slocate_2.4-2potato1_sparc.deb