Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-059-1 man-db -- Symlink-Angriff

Datum des Berichts:

12. Jun 2001

Betroffene Pakete:

man-db

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 2720, BugTraq ID 2815.
In Mitres CVE-Verzeichnis: CVE-2001-1331.

Weitere Informationen:

Luki R. hat einen Fehler in man-db berichtet: es behandelt verschachtelte Aufrufe von drop_effective_privs() und regain_effective_privs() nicht korrekt, wodurch es Privilegien zu früh wiedererlangen würde. Dies kann dazu missbraucht werden, um Dateien als Benutzer man anzulegen.

Dies wurde in Version 2.3.16-4 behoben und wir empfehlen, dass Sie Ihr man-db-Paket umgehend aktualisieren. Wenn Sie suidmanager verwenden, können Sie dieses ebenfalls benutzen, um sicherzustellen, dass man und mandb nicht suid installiert sind, was Sie vor diesem Problem schützt. Dies wird mit den folgenden Befehlen erreicht:

   suidregister /usr/lib/man-db/man root root 0755
   suidregister /usr/lib/man-db/mandb root root 0755

Natürlich ist ein Upgrade auch dann immer noch empfohlen, wenn Sie suidmanager verwenden.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:

http://security.debian.org/dists/stable/updates/main/source/man-db_2.3.16-4.dsc

http://security.debian.org/dists/stable/updates/main/source/man-db_2.3.16-4.tar.gz

Alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/man-db_2.3.16-4_alpha.deb

ARM:

http://security.debian.org/dists/stable/updates/main/binary-arm/man-db_2.3.16-4_arm.deb

Intel IA-32:

http://security.debian.org/dists/stable/updates/main/binary-i386/man-db_2.3.16-4_i386.deb

Motorola 680x0:

http://security.debian.org/dists/stable/updates/main/binary-m68k/man-db_2.3.16-4_m68k.deb

PowerPC:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/man-db_2.3.16-4_powerpc.deb

Sun Sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/man-db_2.3.16-4_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français 日本語 (Nihongo) svenska

Wie stellt man die Standardsprache ein