Bulletin d'alerte Debian

cfingerd -- Faille dans cfingerd visant root

Date du rapport:

14 août 1999

Paquets concernés:

cfingerd

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-1999-0813.

Pour plus d'information:

Un sérieux bogue dans cfingerd dans les versions antérieures à 1.4.0 a été rapporté. Il est présent dans toutes les versions de cfingerd depuis 1.2.0 jusqu'à 1.3.2. Configuré d'une certaine façon, ce bogue permet à n'importe quel utilisateur local d'exécuter n'importe quel code avec les privilèges de root.

Vous êtes hors d'atteinte si vous avez désactivé ALLOW_EXECUTION dans votre fichier cfingerd.conf dans la section "internal_config", c'est-à-dire que le fichier contient la ligne "-ALLOW_EXECUTION".

C'est la configuration par défaut de ce paquet. Si vous utilisez le cfingerd.conf fourni par défaut par la distribution, vous êtes sauf. Cependant, vous devriez mettre à jour.

Toutes les versions de cfingerd comprises entre 1.2.0 et antérieures à la version 1.4.0 sont vulnérables à cette faille. La correction pour la version 1.4.0 a été ajouté à cfingerd 1.3.2-18.1 pour Slink, qui est disponible à l'emplacement indiqué ci-dessous.

Pour plus d'informations sur ce bogues, référez-vous à PacketStorm - cfingerd.txt

Note : Les paquets corrigés sont disponibles pour Debian 2.1 (Slink). Cfingerd 1.4.0 est inclus dans Debian 2.2 (Potato).

Corrigé dans:

alpha:: http://security.debian.org/dists/stable/updates/binary-alpha/cfingerd_1.3.2-18.1_alpha.deb
i386:: http://security.debian.org/dists/stable/updates/binary-i386/cfingerd_1.3.2-18.1_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/binary-m68k/cfingerd_1.3.2-18.1_m68k.deb
sparc:: http://security.debian.org/dists/stable/updates/binary-sparc/cfingerd_1.3.2-18.1_sparc.deb