Nous avons reçu un rapport en provenance de SGI sur une vulnérabilité découverte dans le programme seyon. Cela peut conduire à une compromission de root. N'importe quel utilisateur pouvant exécuter le programme seyon peut exploiter cette vulnérabilité.
Puisque SGI ne fournit pas d'information sur l'exploitation, nous ne pouvons pas résoudre le problème. SGI a fourni l'information seulement pour informer la sécurité des organisations en terme réponse/incident/coordination à l'instar de bugtraq qui ne semble pas être accepté. SGI ne développe pas de rustine pour des produits tiers, il y a ainsi peu de chance de voir une résolution rapide du problème.
Puisque une compromission de root nécessite un exécutable qui tourne en tant que root, nous pensons qu'il nécessite un setuid seyon. Le paquet seyon tel que fournit dans Debian GNU/Linux ne tourne pas avec un setuid root.
Nous doutons par conséquent que le paquet seyon fourni avec Debian GNU/Linux puisse être utilisé pour une exploitation root si vous ne changez pas le comportement par défaut.