cfingerd 1999-08-14 cfingerd cfingerd における root 権限の奪取 yes yes バージョン 1.4.0 より前の cfingerd に深刻なバグがあることが報告されました。 このバグは、バージョン 1.2.0 から 1.3.2 にかけての cfingerd の全バージョンに存在します。 適宜設定が行なわれたならば、いかなるローカルユーザでもこのバグを利用して 任意のプログラムを root 権限で実行することが可能になります。

"internal_config" セクションにある cfingerd.conf ファイルの ALLOW_EXECUTION を無効にしていれば、つまりこのファイルに "-ALLOW_EXECUTION" という行があれば安全です。

こちらはこのパッケージのデフォルトの設定です。 提供されている Debian ディストリビューションのまま、 デフォルトの cfingerd.conf ファイルを使っているならば安全です。 ただそれでもアップグレードは行なうべきです。

バージョン 1.2.0 から 1.4.0 より前の cfingerd の全バージョンに、 このセキュリティ上の問題があります。 バージョン 1.4.0 で加えられた修正は、slink では cfingerd 1.3.2-18.1 に追加されています。 こちらは以下の場所から入手できます。 #use wml::debian::security

注意: Debian 2.1 (slink) 用の修正パッケージは以下の場所から入手できます。 未リリースの Debian 2.2 (potato) には、すでに cfingerd 1.4.0 が収録されています。

alpha: http://security.debian.org/dists/stable/updates/binary-alpha/cfingerd_1.3.2-18.1_alpha.deb
i386: http://security.debian.org/dists/stable/updates/binary-i386/cfingerd_1.3.2-18.1_i386.deb
m68k: http://security.debian.org/dists/stable/updates/binary-m68k/cfingerd_1.3.2-18.1_m68k.deb
sparc: http://security.debian.org/dists/stable/updates/binary-sparc/cfingerd_1.3.2-18.1_sparc.deb