Alerta de Segurança Debian

DSA-310-1 xaos -- execução setuid-root inadequada

Data do Alerta:

08 Jun 2003

Pacotes Afetados:

xaos

Vulnerável:

Sim

Referência à base de dados de segurança:

Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 7838.
No dicionário CVE do Mitre: CVE-2003-0385.

Informações adicionais:

XaoS, um programa de exibição de imagens fractais, é instalado como setuid root em certar arquiteturas para usar a svgalib, que requer acesso ao hardware de vídeo. No entanto, isto não foi desenhado para uma execução setuid segura e pode ser explorado para obter privilégios de root.

Nestes pacotes atualizados, o bit setuid foi removido do binário xaos. Usuários que precisam da funcionalidade da svgalib devem garantir estes privilégios somente a um grupo confiável.

Esta vulnerabilidade é explorada na versão 3.0-18 (potato) nas arquiteturas i386 e alpha e na versão 3.0-23 (woody) somente na arquitetura i386.

Na atual distribuição estável (woody), este problema foi corrigido na versão 3.0-23woody1.

Na antiga distribuição estável (potato), este problema foi corrigido na versão 3.0-18potato1.

Na distribuição instável (sid), este problema foi corrigido na versão 3.1r-4.

Nós recomendamos que você atualize seus pacotes xaos.

Corrigido em:

Debian GNU/Linux 2.2 (potato)

Fonte:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1.dsc; http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1.diff.gz; http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-18potato1_sparc.deb

Debian GNU/Linux 3.0 (woody)

Fonte:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1.dsc; http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1.diff.gz; http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/x/xaos/xaos_3.0-23woody1_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.