Aviso de seguridad de Debian
DSA-791-1 maildrop -- no se liberaban los privilegios
- Fecha del informe:
- 30 de ago de 2005
- Paquetes afectados:
- maildrop
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el sistema de seguimiento de errores de Debian: error 325135.
En el diccionario CVE de Mitre: CVE-2005-2655. - Información adicional:
-
Max Vozeler descubrió que el programa lockmail, de maildrop, un agente sencillo de entrega de correo con capacidades para el filtrado, no liberaba los privilegios del grupo antes de ejecutar los comandos que se proporcionan en la línea de órdenes, permitiendo que un atacante ejecutase órdenes arbitrarias con los privilegios del grupo «mail».
La distribución estable anterior (woody) no se ve afectada por este problema.
Para la distribución estable (sarge), este problema se ha corregido en la versión 1.5.3-1.1sarge1.
Para la distribución inestable (sid), este problema se ha corregido en la versión 1.5.3-2.
Le recomendamos que actualice el paquete maildrop.
- Arreglado en:
-
Debian GNU/Linux 3.1 (sarge)
- Fuentes:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1.dsc
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1.diff.gz
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.