Debian-Sicherheitsankündigung

DSA-054-1 cron -- Lokaler root-Exploit

Datum des Berichts:

07. Mai 2001

Betroffene Pakete:

cron

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2001-0559.

Weitere Informationen:

Eine vor kurzem (im Herbst 2000) durchgeführte Behebung eines Sicherheitsfehlers in cron führte zu einem neuen Fehler bei der Abgabe von Privilegien vor dem Aufruf des Text-Editors. Das Verhalten wurde von Sebastian Krahmer von SuSE entdeckt. Ein böswilliger Benutzer könnte so leicht root-Rechte erlangen.

Das Problem wurde in Version 3.0pl1-57.3 (bzw. 3.0pl1-67 für unstable) behoben. Bis jetzt sind keine Exploits bekannt, aber wir empfehlen Ihnen ein sofortiges Update Ihrer cron-Pakete.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:: http://security.debian.org/dists/stable/updates/main/source/cron_3.0pl1-57.3.diff.gz; http://security.debian.org/dists/stable/updates/main/source/cron_3.0pl1-57.3.dsc; http://security.debian.org/dists/stable/updates/main/source/cron_3.0pl1.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/cron_3.0pl1-57.3_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/cron_3.0pl1-57.3_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/cron_3.0pl1-57.3_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/cron_3.0pl1-57.3_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/cron_3.0pl1-57.3_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/cron_3.0pl1-57.3_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.