Debian-Sicherheitsankündigung

DSA-364-3 man-db -- Pufferüberläufe, Ausführung willkürlicher Befehle

Datum des Berichts:

04. Aug 2003

Betroffene Pakete:

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 8303, BugTraq ID 8341.
In Mitres CVE-Verzeichnis: CVE-2003-0620, CVE-2003-0645.

Weitere Informationen:

man-db bietet den Standard-man(1)-Befehl auf Debian-Systemen. Während der Konfiguration dieses Paketes wird der Administrator gefragt, ob man(1) setuid für einen bestimmten Benutzer (»man«) gesetzt werden soll, um einen geteilten Cache von vorformatierten Handbuchseiten bieten zu können. Die Voreinstellung für man(1) ist, dass es NICHT setuid gesetzt wird, und in dieser Konfiguration ist keine bekannte Verwundbarkeit vorhanden. Falls der Benutzer jedoch explizit setuid-Ausführung ausgewählt hat, könnte ein lokaler Angreifer eine der folgenden Fehler ausnutzen, um willkürlichen Code als der »man«-Benutzer auszuführen.

Nochmal, diese Verwundbarkeiten betreffen nicht die voreingestellte Konfiguration, in der das Programm man nicht setuid gesetzt ist.

CAN-2003-0620: Mehrere Pufferüberläufe in man-db 2.4.1 und früher, falls setuid installiert, erlauben es lokalen Benutzern, Privilegien über (1) die MANDATORY_MANPATH-, MANPATH_MAP- und MANDB_MAP-Argumente zu add_to_dirlist in manp.c, (2) einen langen Pfadnamen für ult_src in ult_src.c, (3) ein langes .so-Argument für test_for_include in ult_src.c, (4) eine lange MANPATH-Umgebungsvariable oder (5) eine lange PATH-Umgebungsvariable zu erlangen.
CAN-2003-0645: Bestimmte DEFINE-Anweisungen in ~/.manpath, die Befehle zum Ausführen enthalten, würden honoriert werden, selbst wenn es setuid ausgeführt wird, was es jedem Benutzer erlaubt, Befehle als der »man«-Benutzer auszuführen.

Für die aktuelle stable Distribution (Woody) wurden diese Probleme in Version 2.3.20-18.woody.4 behoben.

Für die unstable Distribution (Sid) wurden diese Probleme in Version 2.4.1-13 behoben.

Wir empfehlen Ihnen, Ihr man-db Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:: http://security.debian.org/pool/updates/main/m/man-db/man-db_2.3.20-18.woody.4.dsc; http://security.debian.org/pool/updates/main/m/man-db/man-db_2.3.20-18.woody.4.diff.gz; http://security.debian.org/pool/updates/main/m/man-db/man-db_2.3.20.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/m/man-db/man-db_2.3.20-18.woody.4_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/m/man-db/man-db_2.3.20-18.woody.4_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/m/man-db/man-db_2.3.20-18.woody.4_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/m/man-db/man-db_2.3.20-18.woody.4_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/m/man-db/man-db_2.3.20-18.woody.4_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/m/man-db/man-db_2.3.20-18.woody.4_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/m/man-db/man-db_2.3.20-18.woody.4_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/m/man-db/man-db_2.3.20-18.woody.4_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/m/man-db/man-db_2.3.20-18.woody.4_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/m/man-db/man-db_2.3.20-18.woody.4_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/m/man-db/man-db_2.3.20-18.woody.4_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.