ALERT: Vulnerabilita' nel package man-db [ID: A-99022C]
-----BEGIN PGP SIGNED MESSAGE-----
GARR-CERT Security Alert
- ------------------------------------------------------------------------------
Alert ID: A-99022C
Data di creazione: Fri Jun 25 11:23:13 1999
Titolo: Vulnerabilita' nel package man-db
Gravita': alta
- ------------------------------------------------------------------------------
1) Descrizione del problema
Esiste una vulnerabilita' del package man-db, installato in tutte le
distribuzioni di Linux, che permetterebbe ad utenti locali di sovrascrivere
file di sistema attraverso l'uso di symbolic links.
2) Piattaforme interessate
Package man-db versione 2.3.10.
3) Impatto
Utenti locali possono modificare files di di sistema ed ottenere privilegi di
root.
4) Soluzioni
Installare una nuova versione del package man-db. Alcuni vendor hanno gia'
messo a disposizione degli update per le loro distribuzioni.
Debian:
http://security.debian.org/dists/stable/updates/binary-i386/man-db_2.3.10-69FIX.1_i386.deb
Suse:
ftp://ftp.suse.com/pub/suse_update/SuSE-6.1/a1/man.rpm
Per le altre distribuzioni, bisognera' attendere un update ufficiale oppure
installare a mano una nuova versione del package man-db, scaricabile ad
esempio da:
ftp://sunsite.unc.edu/pub/Linux/apps/doctools/man/
In ogni caso,eventuali aggiornamenti verranno comunicati.
5) Riferimenti
Nessuno.
Appendice
GARR-CERT Home Page
http://security.fi.infn.it/GARR-CERT (temporaneamente)
- ------------------------------------------------------------------------------
- ------------------------------------------------------------------------------
Paolo Amendola Phone. +39 80 5443194
GARR-CERT / I.N.F.N. Fax. +39 80 5442470
Bari, Italy email. paolo.amendola@ba.infn.it
PGP key: http://security.fi.infn.it/cgi-bin/spgpk.pl
- ------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv
iQCVAwUBN3NKuCkc7/YS2hptAQEUmwP/QqonagT3RtrZT3aF4acq3513szJqF7nt
rOaVN3L9VDn/8H2H0FcaAzZ4WeO3eakrffbZFjsKIOgT5YiHUNeRl/mQEu5U/yFC
sIqGPGtvWOnVr+CeIsOyAXG9Yyl40rhyuU2TkzIZ8Yuxu9x1IHXmKqjPJLUp6TIK
gp7rmYtMgD8=
=xWOE
-----END PGP SIGNATURE-----
GARR-CERT Security Alert
- ------------------------------------------------------------------------------
Alert ID: A-99022C
Data di creazione: Fri Jun 25 11:23:13 1999
Titolo: Vulnerabilita' nel package man-db
Gravita': alta
- ------------------------------------------------------------------------------
1) Descrizione del problema
Esiste una vulnerabilita' del package man-db, installato in tutte le
distribuzioni di Linux, che permetterebbe ad utenti locali di sovrascrivere
file di sistema attraverso l'uso di symbolic links.
2) Piattaforme interessate
Package man-db versione 2.3.10.
3) Impatto
Utenti locali possono modificare files di di sistema ed ottenere privilegi di
root.
4) Soluzioni
Installare una nuova versione del package man-db. Alcuni vendor hanno gia'
messo a disposizione degli update per le loro distribuzioni.
Debian:
http://security.debian.org/dists/stable/updates/binary-i386/man-db_2.3.10-69FIX.1_i386.deb
Suse:
ftp://ftp.suse.com/pub/suse_update/SuSE-6.1/a1/man.rpm
Per le altre distribuzioni, bisognera' attendere un update ufficiale oppure
installare a mano una nuova versione del package man-db, scaricabile ad
esempio da:
ftp://sunsite.unc.edu/pub/Linux/apps/doctools/man/
In ogni caso,eventuali aggiornamenti verranno comunicati.
5) Riferimenti
Nessuno.
Appendice
GARR-CERT Home Page
http://security.fi.infn.it/GARR-CERT (temporaneamente)
- ------------------------------------------------------------------------------
- ------------------------------------------------------------------------------
Paolo Amendola Phone. +39 80 5443194
GARR-CERT / I.N.F.N. Fax. +39 80 5442470
Bari, Italy email. paolo.amendola@ba.infn.it
PGP key: http://security.fi.infn.it/cgi-bin/spgpk.pl
- ------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv
iQCVAwUBN3NKuCkc7/YS2hptAQEUmwP/QqonagT3RtrZT3aF4acq3513szJqF7nt
rOaVN3L9VDn/8H2H0FcaAzZ4WeO3eakrffbZFjsKIOgT5YiHUNeRl/mQEu5U/yFC
sIqGPGtvWOnVr+CeIsOyAXG9Yyl40rhyuU2TkzIZ8Yuxu9x1IHXmKqjPJLUp6TIK
gp7rmYtMgD8=
=xWOE
-----END PGP SIGNATURE-----