Aviso de seguridad de Debian

xlockmore -- posible compromiso del archivo shadow

Fecha del informe:

16 de ago de 2000

Paquetes afectados:

xlockmore, xlockmore-gl

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2000-0763.

Información adicional:

Hay un error en la cadena de formato en todas las versiones de xlockmore/xlockmore-gl. Debian GNU/Linux 2.1 (slink) instala xlock con setgui por defecto, y esta explotación puede usarse para ganar acceso de lectura al archivo shadow. Le recomendamos que se actualice inmediatamente.

xlockmore normalmente se instala como un programa sin privilegios en Debian GNU/Linux 2.2 (potato) y no es vulnerable en esa configuración. xlockmore puede estar con setuid/setgid por razones históricas o tras actualizar desde una versión de Debian GNU/Linux anterior; consulte README.Debian (LÉAME.Debian) en /usr/doc/xlockmore o /usr/doc/xlockmore-gl para información acerca de los privilegios de xlock y cómo desactivarlos. Si su entorno local requiere que xlock esté con setgid, o si tiene dudas, debería actualizarse a un paquete corregido inmediatamente.

Los paquetes corregidos están disponibles en xlockmore/xlockmore-gl 4.12-5 para GNU/Linux 2.1 (slink) y xlockmore/xlockmore-gl 4.15-9 para Debian GNU/Linux 2.2 (potato).

Arreglado en:

Debian GNU/Linux 2.1 (slink):

Fuentes:: http://security.debian.org/dists/slink/updates/source/xlockmore_4.12-5.diff.gz; http://security.debian.org/dists/slink/updates/source/xlockmore_4.12-5.dsc; http://security.debian.org/dists/slink/updates/source/xlockmore_4.12.orig.tar.gz
alpha:: http://security.debian.org/dists/slink/updates/binary-alpha/xlockmore-gl_4.12-5_alpha.deb; http://security.debian.org/dists/slink/updates/binary-alpha/xlockmore_4.12-5_alpha.deb
i386:: http://security.debian.org/dists/slink/updates/binary-i386/xlockmore-gl_4.12-5_i386.deb; http://security.debian.org/dists/slink/updates/binary-i386/xlockmore_4.12-5_i386.deb
alpha:: http://security.debian.org/dists/slink/updates/binary-m68k/xlockmore-gl_4.12-5_m68k.deb; http://security.debian.org/dists/slink/updates/binary-m68k/xlockmore_4.12-5_m68k.deb
sparc:: http://security.debian.org/dists/slink/updates/binary-sparc/xlockmore-gl_4.12-5_sparc.deb; http://security.debian.org/dists/slink/updates/binary-sparc/xlockmore_4.12-5_sparc.deb

Debian GNU/Linux 2.2 (potato):

Fuentes:: http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15-9.diff.gz; http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15-9.dsc; http://security.debian.org/dists/potato/updates/main/source/xlockmore_4.15.orig.tar.gz
alpha:: http://security.debian.org/dists/potato/updates/main/binary-alpha/xlockmore-gl_4.15-9_alpha.deb; http://security.debian.org/dists/potato/updates/main/binary-alpha/xlockmore_4.15-9_alpha.deb
arm:: http://security.debian.org/dists/potato/updates/main/binary-arm/xlockmore-gl_4.15-9_arm.deb; http://security.debian.org/dists/potato/updates/main/binary-arm/xlockmore_4.15-9_arm.deb
i386:: http://security.debian.org/dists/potato/updates/main/binary-i386/xlockmore-gl_4.15-9_i386.deb; http://security.debian.org/dists/potato/updates/main/binary-i386/xlockmore_4.15-9_i386.deb
m68k:: http://security.debian.org/dists/potato/updates/main/binary-m68k/xlockmore-gl_4.15-9_m68k.deb; http://security.debian.org/dists/potato/updates/main/binary-m68k/xlockmore_4.15-9_m68k.deb
sparc:: http://security.debian.org/dists/potato/updates/main/binary-sparc/xlockmore-gl_4.15-9_sparc.deb; http://security.debian.org/dists/potato/updates/main/binary-sparc/xlockmore_4.15-9_sparc.deb
powerpc:: http://security.debian.org/dists/potato/updates/main/binary-powerpc/xlockmore-gl_4.15-9_powerpc.deb; http://security.debian.org/dists/potato/updates/main/binary-powerpc/xlockmore_4.15-9_powerpc.deb