Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

cron -- Lokale Privileg-Anhebung

Datum des Berichts:

18. Nov 2000

Betroffene Pakete:

cron

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2000-1096.

Weitere Informationen:

Die Version von Vixie Cron, die mit Debian GNU/Linux 2.2 verteilt wird, ist für einen lokalen Angriff verwundbar, der von Michal Zalewski entdeckt wurde. Mehrere Probleme, die unsichere Berechtigungen für temporäre Dateien und Ablauf-Bedingungen während deren Löschung beinhalten, erlauben Angriffe von einem denial-of-service (das Verhindern des Editierens von crontabs) bis zu einem Anheben von Privilegien (wenn andere Benutzer ihren crontab editieren).

Als temporäre Behebung verhindert "chmod go-rx /var/spool/cron/crontabs" die einzig verfügbare Ausnutzung; jedoch geht es das Problem nicht wirklich an. Wir empfehlen Ihnen, auf Version 3.0pl1-57.1 für Debian 2.2 oder 3.0pl1-61 für Debian unstable zu aktualisieren.

Ebenfalls ist es in den neuen cron-Paketen nicht länger möglich, spezielle Dateien (Devices, Named-Pipes, usw.) als Name für crontab anzugeben. Beachten Sie, das dies nicht so sehr eine Sicherheitsbehebung als eher eine Vernunftsprüfung ist.

Beachten Sie: Debian GNU/Linux 2.1 ist für diesen Angriff verwundbar. Wir empfehlen Ihnen, auf Debian GNU/Linux 2.2 (Potato) zu aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:

http://security.debian.org/dists/potato/updates/main/source/cron_3.0pl1-57.1.diff.gz

http://security.debian.org/dists/potato/updates/main/source/cron_3.0pl1-57.1.dsc

http://security.debian.org/dists/potato/updates/main/source/cron_3.0pl1.orig.tar.gz

alpha:

http://security.debian.org/dists/potato/updates/main/binary-alpha/cron_3.0pl1-57.1_alpha.deb

arm:

http://security.debian.org/dists/potato/updates/main/binary-arm/cron_3.0pl1-57.1_arm.deb

i386:

http://security.debian.org/dists/potato/updates/main/binary-i386/cron_3.0pl1-57.1_i386.deb

m68k:

http://security.debian.org/dists/potato/updates/main/binary-m68k/cron_3.0pl1-57.1_m68k.deb

powerpc:

http://security.debian.org/dists/potato/updates/main/binary-powerpc/cron_3.0pl1-57.1_powerpc.deb

sparc:

http://security.debian.org/dists/potato/updates/main/binary-sparc/cron_3.0pl1-57.1_sparc.deb

Diese Seite gibt es auch in den folgenden Sprachen:

English español français 日本語 (Nihongo) svenska

Wie stellt man die Standardsprache ein