Debianin tietoturvatiedote

DSA-092-1 wmtv -- paikallinen käyttö roottina

Ilmoitettu:

6.12.2001

Vaikutuksen alaiset paketit:

wmtv

Altis:

Kyllä

Viittaukset tietoturvatietokantoihin:

Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 3658.
Mitren CVE-sanakirjassa: CVE-2001-1272.

Lisätietoa:

Nicolas Boullis löysi inhottavan ongelman wmtv-paketista (telakoituva video4linux TV ohjain windowmaker:lle) ,joka on osa Debian GNU/Linux 2.2:ta.

wmtv:n saa suorittamaan tuplaklikkauksella komennon. Tämä komento määritellään optiolla -e. Koska wmtv on asennettu ajettavaksi root-oikeuksilla, ajetaan tuplaklikkauksellakin suoritettu komento root-oikeuksilla. Tämä on hyvin yksinkertainen tapa saada root-oikeudet koneeseen.

Tämä ongelma on korjattu versiossa 0.6.5-2potato1 pudottamalla rootin oikeudet pois ennen kuin tuplaklikkauksella annettava komento ajetaan. Suosittelemme wmtv:n päivittämistä välittömästi.

Korjattu:

Debian GNU/Linux 2.2 (potato)

Lähde:: http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5-2potato1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5-2potato1.dsc; http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/wmtv_0.6.5-2potato1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/wmtv_0.6.5-2potato1_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/wmtv_0.6.5-2potato1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/wmtv_0.6.5-2potato1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/wmtv_0.6.5-2potato1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/wmtv_0.6.5-2potato1_sparc.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.