xlockmoreとxlockmore-glパッケージに弱点が発見されました。修正パッケージが slink(Debian 2.1)とpotato(Debian 2.2)向けにリリースされています。 この弱点を利用すると、ローカルのユーザが、普通は読むことのできない ファイルを読むことができます。 potatoで新規にインストールした場合は問題がありませんが、slinkから アップグレードした場合はsetuid/setgidされているため、slinkと同様に 問題があります。 新しいパッケージのバージョンは、xlockmore、xlockmore-glともに Debian 2.1 (slink) : 4.12-5 Debian 2.2 (potato): 4.15-9 です。 情報源は、debian-security-announce@lists.debian.orgで、全文は http://lists.debian.org/debian-security-announce-00/msg00028.html で読むことができます。 From: mstone@xxxxxxxxxxxxxxxxxx (Michael Stone) Subject: [SECURITY] New version of xlockmore/xlockmore-gl released Date: Thu, 17 Aug 2000 00:31:43 -0400 (EDT) > ------------------------------------------------------------------------- > Debian Security Advisory security@debian.org > http://www.debian.org/security/ Michael Stone > August 16, 2000 > ------------------------------------------------------------------------- > Package: xlockmore, xlockmore-gl > Vulnerability type: local exploit > Debian-specific: no > There is a format string bug in all versions of xlockmore/xlockmore-gl. > Debian 2.1 (slink) installs xlock setgid by default, and this exploit > can be used to gain read access to the shadow file. We recommend > upgrading immediately. > xlockmore is normally installed as an unprivileged program in Debian 2.2 > (potato) and is not vulnerable in that configuration. xlockmore may be > setuid/setgid for historical reasons or after upgrading from a previous > Debian release; consult README.Debian in /usr/doc/xlockmore or > /usr/doc/xlockmore-gl for information about xlock privileges and how to > disable them. If your local environment requires xlock to be setgid, or > if in doubt, you should upgrade to a fixed package immediately. > Fixed packages are available in xlockmore/xlockmore-gl 4.12-5 for Debian > 2.1 (slink) and xlockmore/xlockmore-gl 4.15-9 for Debian 2.2 (potato). (以下省略) -- 喜瀬“冬猫”浩@南国沖縄
Attachment:
pgp5fgdfaGJ1K.pgp
Description: PGP signature