Aviso de seguridad de Debian

cfingerd -- explotación de root en cfingerd

Fecha del informe:

14 de ago de 1999

Paquetes afectados:

cfingerd

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-1999-0813.

Información adicional:

Se ha informado de un error serio en cfingerd previo a la versión 1.4.0. Se presenta en todas las versiones de cfingerd desde la 1.2.0 hasta cualquier versión de la 1.3.2. Si está configurado adecuadamente, este error permite a cualquier usuario local ejecutar programas arbitrarios con privilegios de root.

Está seguro si tiene desactivada ALLOW_EXECUTION en su archivo cfingerd.conf en la sección "internal_config", por ejemplo si ese archivo tiene una línea "-ALLOW_EXECUTION"

Esta es la configuración predeterminada de este paquete. Si utiliza el archivo cfingerd.conf tal y como viene con la distribución, está seguro. Aún así, debería actualizar.

Todas las versiones de cfingerd anteriores, desde la 1.2.0 hasta la 1.4.0, eran vulnerables a esta explotación. La reparación de la 1.4.0 ha sido añadida a cfingerd 1.3.2-18.1 para slink, que está disponible en la dirección de abajo.

Se puede encontrar más información sobre este error en PacketStorm - cfingerd.txt

N.B.: Los paquetes reparados están disponibles abajo para Debian 2.1 (slink). cfingerd 1.4.0 se incluye en Debian 2.2 (potato).

Arreglado en:

alpha:: http://security.debian.org/dists/stable/updates/binary-alpha/cfingerd_1.3.2-18.1_alpha.deb
i386:: http://security.debian.org/dists/stable/updates/binary-i386/cfingerd_1.3.2-18.1_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/binary-m68k/cfingerd_1.3.2-18.1_m68k.deb
sparc:: http://security.debian.org/dists/stable/updates/binary-sparc/cfingerd_1.3.2-18.1_sparc.deb