Bulletin d'alerte Debian

xlockmore -- Compromission hypothétique du fichier shadow

Date du rapport:

16 août 2000

Paquets concernés:

xlockmore, xlockmore-gl

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2000-0763.

Pour plus d'information:

Il y a un bogue de format de chaîne dans toutes les versions d'ofxlockmore/xlockmore-gl. Debian GNU/Linux 2.1 (Slink) installe xlock avec le drapeau setgid positionné par défaut. Ainsi, cette exploitation peut être employée pour obtenir un accès en lecture sur le fichier shadow. Nous vous recommandons de faire immédiatement une mise à jour.

xlockmore est normalement installé en tant qu'utilisateur non privilégié dans la Debian GNU/Linux 2.2 (Potato) et n'est pas vulnérable dans ce cas de figure. xlockmore est setuid/setgid pour des raisons historiques ou après avoir fait une mise à jour d'une version de Debian antérieure ; consultez le fichier README.Debian dans /usr/doc/xlockmore ou /usr/doc/xlockmore-gl pour obtenir des informations sur les privilèges de xlock et comment les désactiver. Si votre environnement local requiert que xlock soit setgid ou si vous ne savez pas ce qu'il doit en être, mettez à jour vers un paquet corrigé.

Les paquets corrigés disponibles sont xlockmore/xlockmore-gl 4.12-5 pour la Debian GNU/Linux 2.1 (Slink) et xlockmore/xlockmore-gl 4.15-9 pour la Debian GNU/Linux 2.2 (Potato).

Corrigé dans:

Debian GNU/Linux 2.1 (slink):

Source :: http://security.debian.org/dists/slink/updates/source/xlockmore_4.12-5.diff.gz; http://security.debian.org/dists/slink/updates/source/xlockmore_4.12-5.dsc; http://security.debian.org/dists/slink/updates/source/xlockmore_4.12.orig.tar.gz
alpha:: http://security.debian.org/dists/slink/updates/binary-alpha/xlockmore-gl_4.12-5_alpha.deb; http://security.debian.org/dists/slink/updates/binary-alpha/xlockmore_4.12-5_alpha.deb
i386:: http://security.debian.org/dists/slink/updates/binary-i386/xlockmore-gl_4.12-5_i386.deb; http://security.debian.org/dists/slink/updates/binary-i386/xlockmore_4.12-5_i386.deb
alpha:: http://security.debian.org/dists/slink/updates/binary-m68k/xlockmore-gl_4.12-5_m68k.deb; http://security.debian.org/dists/slink/updates/binary-m68k/xlockmore_4.12-5_m68k.deb
sparc:: http://security.debian.org/dists/slink/updates/binary-sparc/xlockmore-gl_4.12-5_sparc.deb; http://security.debian.org/dists/slink/updates/binary-sparc/xlockmore_4.12-5_sparc.deb

Debian GNU/Linux 2.2 (potato):

Source :: http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15-9.diff.gz; http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15-9.dsc; http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15.orig.tar.gz
alpha:: http://security.debian.org/dists/potato/updates/main/binary-alpha/xlockmore-gl_4.15-9_alpha.deb; http://security.debian.org/dists/potato/updates/main/binary-alpha/xlockmore_4.15-9_alpha.deb
arm:: http://security.debian.org/dists/potato/updates/main/binary-arm/xlockmore-gl_4.15-9_arm.deb; http://security.debian.org/dists/potato/updates/main/binary-arm/xlockmore_4.15-9_arm.deb
i386:: http://security.debian.org/dists/potato/updates/main/binary-i386/xlockmore-gl_4.15-9_i386.deb; http://security.debian.org/dists/potato/updates/main/binary-i386/xlockmore_4.15-9_i386.deb
m68k:: http://security.debian.org/dists/potato/updates/main/binary-m68k/xlockmore-gl_4.15-9_m68k.deb; http://security.debian.org/dists/potato/updates/main/binary-m68k/xlockmore_4.15-9_m68k.deb
sparc:: http://security.debian.org/dists/potato/updates/main/binary-sparc/xlockmore-gl_4.15-9_sparc.deb; http://security.debian.org/dists/potato/updates/main/binary-sparc/xlockmore_4.15-9_sparc.deb
powerpc:: http://security.debian.org/dists/potato/updates/main/binary-powerpc/xlockmore-gl_4.15-9_powerpc.deb; http://security.debian.org/dists/potato/updates/main/binary-powerpc/xlockmore_4.15-9_powerpc.deb