Рекомендация Debian по безопасности
DSA-092-1 wmtv -- локальная уязвимость суперпользователя
- Дата сообщения:
- 06.12.2001
- Затронутые пакеты:
- wmtv
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 3658.
В каталоге Mitre CVE: CVE-2001-1272. - Более подробная информация:
-
Николас Буле обнаружил проблему безопасности в пакете wmtv (подключаемый
ТВ-проигрыватель video4linux для windowmaker), поставляемом в
Debian GNU/Linux 2.2.
wmtv опционально может запускать команду при двойном нажатии кнопки мыши на окно телевизора. Эту команду можно указать с помощью опции командной строки -e. Тем не менее, поскольку wmtv устанавливается с флагом прав доступа, позволяющим запускать её от лица суперпользователя, эта команда также запускается от лица суперпользователя, что даёт локальным пользователям очень простой способ для получения прав суперпользователя.
Эта проблема была исправлена в версии 0.6.5-2potato1 путём сброса привилегий суперпользователя до выполнения команды. Рекомендуется как можно быстрее обновить пакет wmtv.
- Исправлено в:
-
Debian GNU/Linux 2.2 (potato)
- Исходный код:
- http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5-2potato1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5-2potato1.dsc
- http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/wmtv_0.6.5-2potato1.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/wmtv_0.6.5-2potato1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/wmtv_0.6.5-2potato1_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/wmtv_0.6.5-2potato1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/wmtv_0.6.5-2potato1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/wmtv_0.6.5-2potato1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/wmtv_0.6.5-2potato1_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.