Steve Kemp a découvert une faille de sécurité dans xatitv, un des programmes du paquet gatos, qui est utilisé pour afficher de la vidéo avec certaines cartes graphiques ATI.
xatitv est installé avec les privilèges root pour obtenir un accès direct au matériel vidéo. Normalement, il rend les privilèges root après une initialisation réussie. Cependant, si l'initialisation échoue à cause de l'absence d'un fichier de configuration, les privilèges root ne sont pas rendus et xatitv exécute la fonction system(3) pour lancer son programme de configuration sans vérifier les variables de l'environnement utilisateur.
En exploitant cette faille de sécurité, un utilisateur local pouvait obtenir les privilèges root si le fichier de configuration n'existe pas. Cependant, un fichier de configuration est fourni par défaut avec le paquet. Ainsi, cette faille de sécurité n'est pas exploitable sauf si ce fichier est enlevé par l'administrateur.
Pour la distribution stable (Woody), ce problème a été corrigé dans la version 0.0.5-6woody1.
Pour la distribution instable (Sid), ce problème sera corrigé bientôt.
Nous vous recommandons de mettre à jour votre paquet gatos.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.