Wir haben einen Bericht, der einen Pufferüberlauf im inews-Programm, wie
es vom INN-News-Server bereitgestellt wird, beschreibt. Dieses Programm wird
von lokalen Clients verwendet, um News-Artikel in den Server einzuspeisen. Um
sich mit dem News-Server über ein Unix-Domain-Socket zu verbinden, muss das
Programm mit den Gruppenrechten news
laufen. Durch Ausnutzung dieses
Fehlers kann ein lokaler Benutzer news
-Berechtigungen erlangen. Danach sind
diese Benutzer in der Lage, die Konfiguration des INN-Servers zu ändern sowie
die News-Datenbank und -Dateien zu löschen. Wir empfehlen, das inews-inn-Paket
umgehend zu aktualisieren.