Aviso de seguridad de Debian
DSA-092-1 wmtv -- explotación de root local
- Fecha del informe:
- 6 de dic de 2001
- Paquetes afectados:
- wmtv
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 3658.
En el diccionario CVE de Mitre: CVE-2001-1272. - Información adicional:
-
Nicolas Boullis encontró un feo problema de seguridad en el paquete wmtv (una
aplicación incrustable para windowmaque que reproduce TV con video4linux) que
se distribuía en Debian GNU/Linux 2.2.
wmtv puede opcionalmente ejecutar un comando si hace doble clie en la ventana de TV. Este comando puede ser especificado usndo la opción de la línea de comando -e. Sin embargo, debido a que wmtv está instalado con el bit suid de root, este comando también se ejecuta como root, lo que le da al usuario local una manera muy simple de obtener acceso a root.
Esto ha sido arreglado en la versión 0.6.5-2potato1 evitando la adquisición de privilegios de root antes de ejecutar el comando. Recomendamos que actualie su paquete wmtv inmediatamente.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5-2potato1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5-2potato1.dsc
- http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5-2potato1.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/wmtv_0.6.5-2potato1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/wmtv_0.6.5-2potato1_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/wmtv_0.6.5-2potato1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/wmtv_0.6.5-2potato1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/wmtv_0.6.5-2potato1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/wmtv_0.6.5-2potato1_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.