Säkerhetsbulletin från Debian

cfingerd -- Möjlighet att få rootbehörighet i cfingerd

Rapporterat den:

1999-08-14

Berörda paket:

cfingerd

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-1999-0813.

Ytterligare information:

Ett allvarligt fel har rapporterats i versioner av cfingerd före 1.4.0. Det finns i samtliga versioner av cfingerd från 1.2.0 och upp till version 1.3.2. Om programmet är konfigurerat på ett visst sätt tillåter det här felet alla lokala användare att exekvera vilket program som helst med rootprivilegier.

Du är säker om du har stängt av ALLOW_EXECUTION i din cfingerd.conf-fil i avdelningen "internal_config", alltså att raden innehåller raden "-ALLOW_EXECUTION".

Detta är det förinställda valet för paketet, så om du använder cfingerd.conf såsom den distribueras är du säker, men du bör fortfarande uppgradera.

Alla versioner av cfingerd från 1.2.0 till 1.4.0 var sårbara för detta problem. Rättningen från version 1.4.0 har lagts in i cfingerd 1.3.2-18.1 för slink, vilken finns att tillgå på de angivna platserna nedan.

Ytterligare information om detta fel finns i PacketStorm – cfingerd.txt.

Obs! De rättade paketen nedan är avsetta för Debian 2.1 (slink). Version 1.4.0 av cfingerd finns i Debian 2.2 (potato). (potato).

Rättat i:

alpha:: http://security.debian.org/dists/stable/updates/binary-alpha/cfingerd_1.3.2-18.1_alpha.deb
i386:: http://security.debian.org/dists/stable/updates/binary-i386/cfingerd_1.3.2-18.1_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/binary-m68k/cfingerd_1.3.2-18.1_m68k.deb
sparc:: http://security.debian.org/dists/stable/updates/binary-sparc/cfingerd_1.3.2-18.1_sparc.deb