Wir haben einen Bericht von SGI über eine Verwundbarkeit im »seyon«-Programm erhalten. Dies kann zur Erlangung von root-Rechten durch Dritte führen. Jeder Benutzer, der das »seyon«-Programm ausführen kann, kann diese Verwundbarkeit ausnutzen.
Da SGI keine Informationen über die Ausnutzung der Verwundbarkeit bietet, sind wir nicht in der Lage, das Problem zu beheben. SGI stellt solche Informationen nur anerkannten Sicherheitsreaktions-, -zwischenfall-, bzw. -Koordinationsfirmen zur Verfügung, und Bugtraq scheint nicht akzeptabel zu sein. SGI entwickelt keine Patches für Produkte Dritter, daher gibt es auch keine Möglichkeit für eine schnelle Reparatur.
Da die Erlangung von root-Rechten ein mit Administratorrechten laufendes ausführbares Programm benötigt, neigen wir zu der Annahme, dass dieses Problem ein »seyon« mit setuid-Rechten voraussetzt. Das »seyon«-Programm, wie es von Debian GNU/Linux ausgeliefert wird, läuft nicht setuid root.
Daher bezweifeln wir, dass das Seyon-Paket, wie es von Debian GNU/Linux bereitgestellt wird, dazu verwendet werden kann, root-Zugriff zu erlangen, falls Sie nicht die Standardeinstellungen ändern.